據(jù)報道 華碩軟件黑客暴露了數(shù)千臺PC

卡巴斯基實驗室的一份報告稱，屬于科技巨頭華碩的內(nèi)部軟件可能會受到邪惡行為者的攻擊。據(jù)報道，華碩Live Update Utility軟件被用作在大約57,000臺Windows計算機上安裝惡意后門程序的手段 - 如果不是數(shù)十萬甚至超出其范圍 - 以及后來針對少數(shù)幾個目標(biāo)的惡意軟件。

當(dāng)然，卡巴斯基實驗室正在為這次攻擊提供一個色情名稱：Operation ShadowHammer - 毫無疑問，這種行為對那些擁有手段和意愿的人來說更具吸引力。我建議下一個大黑客被稱為操作臭，或操作****帽子。沒有人想成為操作背后的主謀****帽子。

盡管如此，據(jù)稱，Asus總部的服務(wù)器受到攻擊，用于發(fā)送數(shù)字簽名和“安全”軟件，并在2018年6月至11月期間無意中向用戶的PC發(fā)送了后門軟件。一旦安裝，它將搜索預(yù)先確定的MAC地址，暗示此攻擊的目標(biāo)性質(zhì)，如果找到，則連接到將在這些計算機上安裝惡意軟件的第三方服務(wù)器。

卡巴斯基實驗室為其掃描工具實施了一種新的供應(yīng)鏈檢測技術(shù)，以便在合法包裝中捕獲這種危險代碼，然后在主板上報告，這一攻擊被發(fā)現(xiàn)。該安全公司計劃在新加坡安全分析師峰會上發(fā)布關(guān)于擬議的華碩攻擊的完整技術(shù)論文。

黑客自己：這是如何超頻你的CPU和GPU

該報告指出，惡意文件實際上是一個已有三年歷史的華碩更新文件。此文件注入了惡意代碼，然后使用真正的華碩證書進行欺騙。由于使用文件的年齡，卡巴斯基不相信攻擊者可以訪問整個華碩的系統(tǒng)，只有簽署證書的部分才能讓客戶端系統(tǒng)將這些系統(tǒng)識別為合法。

卡巴斯基實驗室還試圖在1月份聯(lián)系華碩報告此次襲擊事件。然而，華碩否認(rèn)了這一說法。據(jù)報道，在接下來的幾個月里，它繼續(xù)使用兩個受損證書中的一個，但此后一直停止使用。

華碩主板CPU插座

主板隨后聯(lián)系了一家二級安全公司Symantec，以確認(rèn)其客戶是否收到了惡意代碼。它證實至少有13,000人受到影響。攻擊的全部范圍尚未確定，但估計數(shù)十萬。

卡巴斯基實驗室全球研究和分析團隊的負(fù)責(zé)人Vitaly Kamluk對主板說：“這次攻擊表明我們基于已知供應(yīng)商名稱和數(shù)字簽名驗證使用的信任模型無法保證您不會受到惡意軟件的侵害。”

如果您不是攻擊所針對的600個左右的MAC地址之一，那么惡意軟件將保持相對低調(diào) - 因此它設(shè)法避免檢測這么久。但是，后門仍然可以在受影響的系統(tǒng)上利用。

“他們并沒有盡可能地針對盡可能多的用戶，”Kamluk繼續(xù)道。“他們希望進入非常具體的目標(biāo)，他們已經(jīng)提前知道了他們的網(wǎng)卡MAC地址，這非常有趣。”

這次攻擊的目標(biāo)性質(zhì)是一個引人入勝的，安全研究人員認(rèn)為，華碩的攻擊可能與以前 - 可能是前驅(qū) - CCleaner攻擊有關(guān)。華碩的服務(wù)器列在那些受到廣泛的CCleaner惡意軟件更新影響的服務(wù)器中，而卡巴斯基實驗室認(rèn)為這可能是攻擊者如何獲得最近一次黑客攻擊的必要組件。