ASUS Live Update gebruikt om backdoor te verspreiden

[Captain Kirk]

Aanvallers hebben de updatetool van de Taiwanese computerfabrikant ASUS, die standaard op de meeste ASUS-systemen geïnstalleerd staat, gebruikt om computers met een backdoor te infecteren. Via ASUS Live Update kunnen gebruikers de firmware, drivers en software van hun computer eenvoudig bijwerken.

Van juni tot en met november vorig jaar zijn aanvallers erin geslaagd om via Live Update kwaadaardige updates te verspreiden die een backdoor bleken te bevatten. De besmette updates waren van een geldig certificaat voorzien en werden gehost op de updateservers van ASUS. Onderzoekers van anti-virusbedrijf Kaspersky Lab vermoeden dat mogelijk meer dan een miljoen gebruikers wereldwijd zijn getroffen.

Wat de virusbestrijder wel zeker weet is dat de besmette updates van ASUS Live Update door 57.000 gebruikers van de eigen antivirussoftware zijn geïnstalleerd. De meeste infecties werden in Rusland en Duitsland geteld, gevolgd door Frankrijk en Italië. Antivirusbedrijf Symantec verklaart tegenover Vice Magazine dat tenminste 13.000 klanten via een kwaadaardige ASUS-update besmet zijn geraakt.

De aanval was gericht tegen een kleine groep gebruikers die werden geïdentificeerd aan de hand van het MAC-adres van hun netwerkkaart. Hiervoor maakten de aanvallers gebruik van een hardcoded lijst van 600 MAC-adressen. Zodra de backdoor één van deze MAC-adressen tegenkwam werd er van een domein dat op een officiële ASUS-site leek aanvullende malware gedownload. Om wat voor malware het gaat is onbekend. Deze werkwijze laat zien dat de aanvallers de MAC-adressen van hun beoogde slachtoffers al kenden.

De aanvallers maakten gebruik van twee ASUS-certificaten om hun malware te signeren. Volgens onderzoeker Vitaly Kamluk bleef de computerfabrikant één van deze certificaten gebruiken voor het signeren van de eigen software voor tenminste een maand nadat het was ingelicht. Inmiddels is het bedrijf hiermee gestopt, maar de twee certificaten zijn nog altijd niet ingetrokken.

ASUS is op 31 januari over de aanval ingelicht. Kamluk vertelt aan Vice Magazine dat een medewerker van het Kaspersky Lab op 14 februari bij ASUS is langs geweest, maar dat de computerfabrikant nauwelijks reageert en ASUS-klanten nog steeds niet zijn ingelicht. Het anti-virusbedrijf heeft een tool ontwikkeld waarmee gebruikers kunnen controleren of hun computer één van de 600 systemen is waar de aanvallers het op hadden voorzien. Volgende maand zal Kaspersky Lab meer details over de aanval geven.

Update

Onderzoeker Kamluk laat via Twitter weten dat de huidige updates van ASUS niet besmet zijn. De aanvallers zouden in november 2018 met hun activiteiten zijn gestopt en naar andere doelwitten zijn overgestapt. Welke doelwitten dit zijn wordt over twee weken bekendgemaakt.

 

 

bron: security.nl