ShadowHammer惡意軟件攻擊 華碩響應(yīng)

這是你永遠(yuǎn)不想發(fā)生的事情。來自卡巴斯基實驗室的研究人員發(fā)現(xiàn)，黑客已經(jīng)滲透到全球最大的計算機制造商之一華碩，并將后門“ShadowHammer”木馬屏蔽為合法更新，然后通過華碩實時更新工具推送給用戶。

華碩已經(jīng)正式回應(yīng)了這些聲明，為用戶發(fā)布診斷功能，檢查他們的機器和新的安全補丁，以修復(fù)受影響的筆記本電腦。

根據(jù)研究人員的說法，供應(yīng)鏈攻擊使用被盜數(shù)字證書將惡意軟件掩蓋為合法的華碩更新，然后通過ASUS機器上預(yù)安裝的ASUS實時更新工具進行分發(fā)。根據(jù)他們的統(tǒng)計數(shù)據(jù)，華碩機器上大約57,000名卡巴斯基用戶在去年6月至11月的某個階段下載并安裝了受損版本的華碩Live Update?？ò退够荒苡嬎惆惭b了卡巴斯基反病毒軟件的受影響用戶，但他們斷言“問題的真正規(guī)模”可能會影響全球數(shù)百萬臺華碩機器。

卡巴斯基于今年1月31日向華碩通報了他們的調(diào)查結(jié)果，主板 - 最初報告調(diào)查結(jié)果 -上周與華碩聯(lián)系，要求回應(yīng)研究人員的說法。Kotaku Australia周二聯(lián)系華碩當(dāng)?shù)貓F隊要求回復(fù)，并被告知當(dāng)天晚些時候?qū)l(fā)布官方聲明。

官方回應(yīng)今天早上在華碩網(wǎng)站上發(fā)布，臺灣制造商稱這次襲擊來自“高級持續(xù)性威脅”組織，這些組織通常由民族國家運營。“高級持續(xù)威脅(APT)攻擊是通常由幾個特定國家發(fā)起的國家級攻擊，針對某些國際組織或?qū)嶓w而非消費者，”該公司表示。

華碩對受影響的機器數(shù)量提出異議，稱“只有極少數(shù)特定用戶群被發(fā)現(xiàn)是這次攻擊的目標(biāo)”。

“通過對我們的實時更新服務(wù)器的復(fù)雜攻擊，少數(shù)設(shè)備已被植入惡意代碼，企圖以非常小的特定用戶群為目標(biāo)，”華碩寫道，沒有提供有關(guān)該用戶組的詳細(xì)信息。

然而，這篇文章并沒有完全挑戰(zhàn)卡巴斯基的一些主張。研究人員聲稱這次攻擊已經(jīng)導(dǎo)致數(shù)百萬臺PC受到攻擊，但他們指出，負(fù)責(zé)黑客主要集中在瞄準(zhǔn)選定機器上。

雖然這意味著受影響的軟件中的每個用戶都可能成為受害者，但ShadowHammer背后的演員專注于獲得他們之前所知的數(shù)百個用戶的訪問權(quán)限。正如卡巴斯基實驗室的研究人員發(fā)現(xiàn)的那樣，每個后門代碼都包含一個硬編碼MAC地址表 - 用于將計算機連接到網(wǎng)絡(luò)的網(wǎng)絡(luò)適配器的唯一標(biāo)識符。一旦在受害者的設(shè)備上運行，后門就會根據(jù)此表驗證其MAC地址。

如果MAC地址與其中一個條目匹配，則惡意軟件會下載下一階段的惡意代碼。否則，滲透的更新程序沒有顯示任何網(wǎng)絡(luò)活動，這就是為什么它在這么長時間內(nèi)仍然未被發(fā)現(xiàn)?？偟膩碚f，安全專家能夠識別600多個MAC地址。這些是針對超過230個具有不同shellcode的獨特后門樣本的目標(biāo)。

卡巴斯基研究人員將在下個月在新加坡舉行的2019年安全分析師峰會上展示他們關(guān)于Operation ShadowHammer的更多調(diào)查結(jié)果。該公司還建立了一個網(wǎng)站，供用戶檢查其機器中的MAC地址是否受到損害。