卡巴斯基实验室指出,华硕 Live Update 伺服器遭到破解,并且被骇客武器化,受害者可能有数十万规模。
此事在去年就已开始,于今年 1 月被发现,不过华硕目前似乎还没有向用户告知相关讯息。据卡巴斯基实验室的研究人员表示,骇客透过华硕官方的伺服器在用户的计算机上安装后门,且使用的是合法的华硕数位签证,使其看起来像真的软体更新。在被发现之前,此攻击可能已持续了半年以上。
卡巴斯基实验室全球研究和分析团队亚太区总监 Vitaly Kamluk 表示,当研究人员在今年初联繫华硕时,该公司拒绝承认其服务器遭到入侵,并表示此恶意软体是来自其他网路。但卡巴斯基所收集的恶意软体样本的下载路径是明确的指向华硕伺服器。该恶意软体伪装成 setup.exe,据称是对更新工具本身的更新,且签证是有效的。
▲ 被木马化的华硕数位签证序号 05e6a0be5ac359c7ff11f4b467ab20fc。
供应链资安隐忧大
卡巴斯基强调,这突显了来自供应链的资安问题,虽然这也不是首见,此前就有间谍工具针对微软更新来欺骗用户电脑下载恶意软体。不过不太一样的是,当时骇客是重新定向受害者电脑连上假的更新伺服器。类似的案例还有很多,例如 CCleaner 也曾被发现透过软体更新向用户散播恶意软体,还有臭名昭着的 notPetya 攻击等。
不过卡巴斯基董事 Costin Raiu 指出,此次劫持华硕伺服器的手法更加漂亮,在类似的资安威胁中更加隐密及难以察觉,且只要不触发基本上很难被用户发现,但即使在非目标系统上保持沉默,此攻击途径也形同骇客在每个受感染的 ASUS 系统上装有后门,且範围是相当大规模的。在今年初卡巴斯基刚发现时就有近 57,000 名用户被感染,而目前样本仅来自于卡巴斯基自己的付费客户,实际受害者可能高达数十万。
▲ 目前推估的全球各地区受害者数量。
骇客有针对性
不过有趣的是,此种骇客攻击是阶段性且有明确的目标性,是一种外科手术式的精準攻击,其透过辨识对方的硬体位址来确定是否为攻击目标之后才触发软体。而这也表示,骇客已提前知道目标的具体硬体位址,而不是随机选择。目前卡巴斯基,只能从恶意软体样本中解析出 600 多个硬体位址清单,无从得知全貌,也没办法知道第二阶段受害者的身分是谁。
此次攻击手法被命名为 ShadowHammer,目前卡巴斯基研究人员认为此次骇客与 ShadowPad 和 CCleaner 攻击是同一批团队。华硕原本就是 CCleaner 攻击的主要目标之一,并推测以此获得对华硕伺服器的访问权限。目前确认到骇客使用两种不同的华硕数位签证来签署他们的恶意软体,一个已在 2018 年中期到期,然而骇客随即切换到第二个合法签证。目前华硕对此仍无回应。
其实这也不是华硕首次面临资安危机,早在 2016 年就被美国联邦贸易委员会指责,华硕的网通产品有不少漏洞,可能面临骇客威胁,而华硕承诺建立一项全面性的资安计画,并进行 20 年期的独立审查。
自检措施
卡巴斯基已针对此次攻击推出了检测工具,民众可以透过线上检查 MAC 网址,来确定自己是否是被攻击的目标,并希望受害者能尽速与卡巴斯基联络。技术详情可参考此网页 Operation ShadowHammer 。
- Hackers Hijacked ASUS Software Updates to Install Backdoors on Thousands of Computers
- Hijacked ASUS software updates installed backdoor on at least 0.5 million PCs
- Hackers hijacked update server to install backdoors on ASUS machines
- Hackers Hijacked ASUS Software Updates to Install Backdoors on Thousands of Computers
