ShadowHammer惡意軟件攻擊 華碩響應(yīng)

這是你永遠(yuǎn)不想發(fā)生的事情。來自卡巴斯基實(shí)驗(yàn)室的研究人員發(fā)現(xiàn)，黑客已經(jīng)滲透到全球最大的計(jì)算機(jī)制造商之一華碩，并將后門“ShadowHammer”木馬屏蔽為合法更新，然后通過華碩實(shí)時(shí)更新工具推送給用戶。

華碩已經(jīng)正式回應(yīng)了這些聲明，為用戶發(fā)布診斷功能，檢查他們的機(jī)器和新的安全補(bǔ)丁，以修復(fù)受影響的筆記本電腦。

根據(jù)研究人員的說法，供應(yīng)鏈攻擊使用被盜數(shù)字證書將惡意軟件掩蓋為合法的華碩更新，然后通過ASUS機(jī)器上預(yù)安裝的ASUS實(shí)時(shí)更新工具進(jìn)行分發(fā)。根據(jù)他們的統(tǒng)計(jì)數(shù)據(jù)，華碩機(jī)器上大約57,000名卡巴斯基用戶在去年6月至11月的某個(gè)階段下載并安裝了受損版本的華碩Live Update。卡巴斯基只能計(jì)算安裝了卡巴斯基反病毒軟件的受影響用戶，但他們斷言“問題的真正規(guī)模”可能會(huì)影響全球數(shù)百萬臺(tái)華碩機(jī)器。

卡巴斯基于今年1月31日向華碩通報(bào)了他們的調(diào)查結(jié)果，主板 - 最初報(bào)告調(diào)查結(jié)果 -上周與華碩聯(lián)系，要求回應(yīng)研究人員的說法。Kotaku Australia周二聯(lián)系華碩當(dāng)?shù)貓F(tuán)隊(duì)要求回復(fù)，并被告知當(dāng)天晚些時(shí)候?qū)l(fā)布官方聲明。

官方回應(yīng)今天早上在華碩網(wǎng)站上發(fā)布，臺(tái)灣制造商稱這次襲擊來自“高級(jí)持續(xù)性威脅”組織，這些組織通常由民族國家運(yùn)營。“高級(jí)持續(xù)威脅(APT)攻擊是通常由幾個(gè)特定國家發(fā)起的國家級(jí)攻擊，針對某些國際組織或?qū)嶓w而非消費(fèi)者，”該公司表示。

華碩對受影響的機(jī)器數(shù)量提出異議，稱“只有極少數(shù)特定用戶群被發(fā)現(xiàn)是這次攻擊的目標(biāo)”。

“通過對我們的實(shí)時(shí)更新服務(wù)器的復(fù)雜攻擊，少數(shù)設(shè)備已被植入惡意代碼，企圖以非常小的特定用戶群為目標(biāo)，”華碩寫道，沒有提供有關(guān)該用戶組的詳細(xì)信息。

然而，這篇文章并沒有完全挑戰(zhàn)卡巴斯基的一些主張。研究人員聲稱這次攻擊已經(jīng)導(dǎo)致數(shù)百萬臺(tái)PC受到攻擊，但他們指出，負(fù)責(zé)黑客主要集中在瞄準(zhǔn)選定機(jī)器上。

雖然這意味著受影響的軟件中的每個(gè)用戶都可能成為受害者，但ShadowHammer背后的演員專注于獲得他們之前所知的數(shù)百個(gè)用戶的訪問權(quán)限。正如卡巴斯基實(shí)驗(yàn)室的研究人員發(fā)現(xiàn)的那樣，每個(gè)后門代碼都包含一個(gè)硬編碼MAC地址表 - 用于將計(jì)算機(jī)連接到網(wǎng)絡(luò)的網(wǎng)絡(luò)適配器的唯一標(biāo)識(shí)符。一旦在受害者的設(shè)備上運(yùn)行，后門就會(huì)根據(jù)此表驗(yàn)證其MAC地址。

如果MAC地址與其中一個(gè)條目匹配，則惡意軟件會(huì)下載下一階段的惡意代碼。否則，滲透的更新程序沒有顯示任何網(wǎng)絡(luò)活動(dòng)，這就是為什么它在這么長時(shí)間內(nèi)仍然未被發(fā)現(xiàn)。總的來說，安全專家能夠識(shí)別600多個(gè)MAC地址。這些是針對超過230個(gè)具有不同shellcode的獨(dú)特后門樣本的目標(biāo)。

卡巴斯基研究人員將在下個(gè)月在新加坡舉行的2019年安全分析師峰會(huì)上展示他們關(guān)于Operation ShadowHammer的更多調(diào)查結(jié)果。該公司還建立了一個(gè)網(wǎng)站，供用戶檢查其機(jī)器中的MAC地址是否受到損害。