26 марта 2019 г.
«Лаборатория Касперского» сообщила, что, по ее оценке, около 1 миллиона компьютеров, произведенных тайваньской компанией ASUSTeK, получили вредоносное обновление программного обеспечения, которое было доставлено по официальным каналам, назвав это «одной из крупнейших атак в цепочке поставок».
Киберпреступники инфицировали утилиту ASUS Live Update, с помощью которой доставляются обновления BIOS, UEFI и программного обеспечения на компьютеры ASUS, указывают специалисты «Касперского».
«Утилита с троянским кодом была подписана действительным сертификатом и размещена на официальном сервере ASUSTeK, предназначенном для обновлений, что позволило ей долгое время оставаться незамеченной», — говорится в блоге «Лаборатории».
ASUSTeK не ответила на просьбу CRN прокомментировать происшедшее на момент публикации.
Вредоносные обновления доставлялись пользователям в период с июня по ноябрь 2018 года.
«Лаборатория Касперского» сообщает, что выявила более 57 тысяч компьютеров ASUS с инфицированной утилитой, а всего, по оценке компании, пострадало около 1 миллиона пользователей, хотя хакеров интересовали лишь 600 конкретных пользователей, говорится в блоге.
Symantec официально сообщила CRN, что «может подтвердить атаку на цепочку поставок программного обеспечения ASUS».
Как показал анализ, проведенный специалистами Symantec, обновления, содержащие троянский код, «рассылались сервером автоматических обновлений ASUS в период с июня по конец октября 2018 года. Эти обновления были подписаны цифровой подписью с использованием двух сертификатов ASUS», указывает Symantec.
«Лаборатория Касперского» говорит, что атака носила название ShadowHammer и что три других вендора были атакованы с использованием той же техники. Их названия не сообщаются.
Майкл Ох (Michael Oh), учредитель VAR-компании TSP LLC (Кеймбридж, шт. Массачусетс), говорит, что сообщенные подробности позволяют предположить, что хакеры сумели проникнуть во внутренние системы ASUSTeK и предпринять дальнейшие шаги, чтобы запустить доставку вредоносного ПО.
«Это довольно-таки сложно построенная атака, учитывая все те шаги, которые нужно было предпринять, чтобы ее осуществить», — сказал он.
Посмотрим, что покажет дальнейшее изучение, говорит Ох. «Вполне вероятно, что компании ASUSTeK придется в итоге признать, что их внутренняя система безопасности не так сильна, как следовало бы, и это позволило произойти случившемуся, — сказал он. — Предполагается, что эти обновления рассылаются вендорами, имеющими очень хорошую систему безопасности, но кто за этим следит? Кто гарантирует защищенность их инфраструктуры?»
«Я думаю, это заставит многих в ИТ переосмыслить их модель доверия: кого из вендоров они считают действительно заслуживающими 100%-ного доверия», — резюмировал он.
© 2019. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.
Источник: Кайл Олспак, CRN/США