MOTHERBOARD等科技媒體報導,俄羅斯資安業者卡巴斯基實驗室(Kaspersky Lab)周一表示,華碩去年進行軟體更新時,自動軟體更新工具的伺服器遭駭客入侵,並藉此向上千台用戶的電腦植入了惡意後門病毒,而且這個惡意程式使用了華碩數位證書,偽裝成正常軟體更新。
卡巴斯基今年1月新增用來偵測正常程式內所隱藏異常代碼的技術後,首次發現華碩電腦遭安裝後門病毒,在卡巴斯基收費客戶中有超過5.7萬人成為受害者,在不知情狀況下下載並安裝了惡意程式。卡巴斯基估計真正受害規模遠大於此,全球受影響(華碩)用戶可能超過100萬人。
卡巴斯基將這場發生於2018年6月到11月的攻擊,命名為「ShadowHammer行動」,並準備於4月在新加坡舉行的資安分析高峰會(Security Analyst Summit)上發布完整技術分析報告。
卡巴斯基官方部落格上,稱「ShadowHammer行動」為卡巴斯基截至目前所發現規模最大的軟體供應鏈攻擊(supply chain attack),比2017年知名免費清理軟體CCleaner遭遇的攻擊影響更嚴重。
卡巴斯基透露,在ShadowHammer行動中,駭客先修改了ASUS Live Update Utility軟體,植入後門程式,再透過ASUS Live Update Utility更新過程散播含惡意程式的軟體。由於是經官方伺服器且具官方認證的途徑散佈,這種攻擊手法較不容易被發現,且駭客甚至確保了植入惡意程式的軟體大小與原本軟體相同。
卡巴斯基估計,有超過50萬台Windows裝置在華碩更新伺服器時,因此接收到惡意後門程式。不過,駭客似乎僅鎖定了約600個電腦MAC addresses(媒體存取控制位置)。駭客讓惡意程式搜索這些MAC addresses,一旦找到鎖定目標就發動攻擊並安裝病毒。
卡巴斯基說:「我們發現這類更新來自於Live Update ASUS伺服器,它們被植入木馬或惡意更新程式,而且有華碩認證簽署。」ASUS Live Update Utility通常預安裝於華碩筆電和電腦上,作用為更新電腦特定元件,包括BIOS、UEFI、驅動軟體與應用程式等。
卡巴斯基全球研究和分析團隊亞太區總監Vitaly Kamluk表示,已於1月31日告知華碩此事,並派員在2月14日與華碩會面。但華碩基本上未採取什麼回應,也未通知華碩產品用戶。
TechCrunch報導,另一家資安業者賽門鐵克(Symantec)證實了卡巴斯基的發現。該公司發言人Jennifer Duffourg說:「我們發現在(2018年)6月到10月間,遭植入木馬病毒的軟體被發送給華碩的用戶。」據賽門鐵克追蹤,自家客戶中約有1.3萬台裝置受害。
卡巴斯基的受害客戶中,大部分位於俄羅斯(佔18%),其次是德國和法國,僅5%位於美國。賽門鐵克的受害客戶中,則有約15%位於美國。
「ShadowHammer行動」反映了所謂的「供應鏈攻擊」威脅正日漸升高,也就是在裝置(或軟體)在製造或組裝過程中,或是通過可信賴經銷管道時,被安裝惡意軟體或元件。
Vitaly Kamluk說:「這個事件顯示,我們透過已知廠商及有效數位簽章(來發布軟體)的信賴模式,已無法保障用戶免於惡意程式攻擊。」
此次華碩遭受攻擊的範圍與影響仍難估量,但過往經驗或許可以借鑒一二。2017年8月CCleaner推出新版軟體CCleaner 5.33.6162及CCleaner Cloud 1.7.0.3191,但在9月發現這兩個版本的軟體遭植入後門程式。
據當時調查,在兩版軟體推出的1個多月期間內,下載人次達227萬人,且其中至少有165萬個惡意軟體副本,曾嘗試連結外部C&C伺服器(Command and Control Server)。
如電腦等裝置一旦被植入後門,駭客就能從遠端傳送惡意程式,並藉此竊取用戶的裝置系統資訊、檔案與其他資料,再回傳外部伺服器。在CCleaner的案例中,植入後門程式並散布受感染軟體僅是第1階段,駭客藉第1階段的行動,來鎖定第2階段的目標。
當時駭客透過用戶域名等資訊,過濾出科技與IT業相關人士,最終僅鎖定了40台電腦,並向鎖定的電腦發送額外病毒。
CCleaner開發商Piriform在發現遭後門程式入侵後,迅速下架了受感染軟體,並透過將用戶軟體更新至最新版本來解決此問題。
謝謝收看
留言列表
