МОСКВА, 25 мар — 365NEWS. Хакеры ShadowHammer через уязвимость в программном обеспечении для обновления драйверов в режиме онлайн Asus Live Update избирательно атаковали более 600 пользователей, говорится в исследовании «Лаборатории Касперского».
Asus Live Update предустанавливается на большинстве новых компьютеров Asus для автоматического обновления системного ПО (включая BIOS, UEFI, приложения и драйверы). Согласно сообщению, в период с июня по ноябрь 2018 года злоумышленники внедрили в это ПО бэкдор (лазейку), который, по оценкам экспертов «Лаборатории Касперского», поставил под угрозу безопасность более 1 миллиона пользователей по всему миру.
ПО Asus использовалось как первоначальный источник заражения. Хакеры внедряли вредоносный код в модифицированные старые версии ПО, каждый код содержал таблицу со списком определённых MAC-адресов (уникальных идентификационных кодов, которые присваиваются сетевым картам для подсоединения к сети). После запуска на устройстве жертвы зловред проверял, входит ли этот MAC-адрес в список, и если он подходил, то загружался следующий модуль вредоносного кода. В противном случае эта утилита не проявляла никакой дополнительной сетевой активности, и поэтому атака долго оставалась необнаруженной.
«В общей сложности исследователи смогли идентифицировать свыше 600 MAC-адресов в этом списке. … При исполнении вредоносного кода применялся модульный подход и были предприняты дополнительные меры предосторожности, чтобы предотвратить случайную утечку кода или данных. Это указывает на то, что злоумышленникам было очень важно оставаться незамеченными, атаки же на определённые цели они проводили с хирургической точностью», — говорится в документе.
«Лаборатория Касперского» сообщила Asus и другим компаниям об обнаруженной проблеме.
«Выбранные компании являются чрезвычайно привлекательными мишенями для злоумышленников, которые, вероятно, хотят воспользоваться обширной клиентской базой организаций в своих целях. На данный момент мы не знаем, какой была конечная цель этой атаки, также мы всё ещё расследуем, кто за ней стоял», – сказано в релизе.
