卡巴斯基實驗室指出,華碩 Live Update 伺服器遭到破解,並且被駭客武器化,受害者可能有數十萬規模。
此事在去年就已開始,於今年 1 月被發現,不過華碩目前似乎還沒有向用戶告知相關訊息。據卡巴斯基實驗室的研究人員表示,駭客透過華碩官方的伺服器在用戶的計算機上安裝後門,且使用的是合法的華碩數位簽證,使其看起來像真的軟體更新。在被發現之前,此攻擊可能已持續了半年以上。
卡巴斯基實驗室全球研究和分析團隊亞太區總監 Vitaly Kamluk 表示,當研究人員在今年初聯繫華碩時,該公司拒絕承認其服務器遭到入侵,並表示此惡意軟體是來自其他網路。但卡巴斯基所收集的惡意軟體樣本的下載路徑是明確的指向華碩伺服器。該惡意軟體偽裝成 setup.exe,據稱是對更新工具本身的更新,且簽證是有效的。
▲ 被木馬化的華碩數位簽證序號 05e6a0be5ac359c7ff11f4b467ab20fc。(Source:卡巴斯基)
供應鏈資安隱憂大
卡巴斯基強調,這突顯了來自供應鏈的資安問題,雖然這也不是首見,此前就有間諜工具針對微軟更新來欺騙用戶電腦下載惡意軟體。不過不太一樣的是,當時駭客是重新定向受害者電腦連上假的更新伺服器。類似的案例還有很多,例如 CCleaner 也曾被發現透過軟體更新向用戶散播惡意軟體,還有臭名昭著的 notPetya 攻擊等。
不過卡巴斯基董事 Costin Raiu 指出,此次劫持華碩伺服器的手法更加漂亮,在類似的資安威脅中更加隱密及難以察覺,且只要不觸發基本上很難被用戶發現,但即使在非目標系統上保持沉默,此攻擊途徑也形同駭客在每個受感染的 ASUS 系統上裝有後門,且範圍是相當大規模的。在今年初卡巴斯基剛發現時就有近 57,000 名用戶被感染,而目前樣本僅來自於卡巴斯基自己的付費客戶,實際受害者可能高達數十萬。
駭客有針對性
不過有趣的是,此種駭客攻擊是階段性且有明確的目標性,是一種外科手術式的精準攻擊,其透過辨識對方的硬體位址來確定是否為攻擊目標之後才觸發軟體。而這也表示,駭客已提前知道目標的具體硬體位址,而不是隨機選擇。目前卡巴斯基,只能從惡意軟體樣本中解析出 600 多個硬體位址清單,無從得知全貌,也沒辦法知道第二階段受害者的身分是誰。
此次攻擊手法被命名為 ShadowHammer,目前卡巴斯基研究人員認為此次駭客與 ShadowPad 和 CCleaner 攻擊是同一批團隊。華碩原本就是 CCleaner 攻擊的主要目標之一,並推測以此獲得對華碩伺服器的訪問權限。目前確認到駭客使用兩種不同的華碩數位簽證來簽署他們的惡意軟體,一個已在 2018 年中期到期,然而駭客隨即切換到第二個合法簽證。目前華碩對此仍無回應。
其實這也不是華碩首次面臨資安危機,早在 2016 年就被美國聯邦貿易委員會指責,華碩的網通產品有不少漏洞,可能面臨駭客威脅,而華碩承諾建立一項全面性的資安計畫,並進行 20 年期的獨立審查。
自檢措施
卡巴斯基已針對此次攻擊推出了檢測工具,民眾可以透過線上檢查 MAC 網址,來確定自己是否是被攻擊的目標,並希望受害者能盡速與卡巴斯基聯絡。技術詳情可參考此網頁 Operation ShadowHammer 。
Hackers Hijacked ASUS Software Updates to Install Backdoors on Thousands of Computers
Hijacked ASUS software updates installed backdoor on at least 0.5 million PCs
Hackers hijacked update server to install backdoors on ASUS machines
Hackers Hijacked ASUS Software Updates to Install Backdoors on Thousands of Computers
(首圖來源:shutterstock)
