黑客以被劫持的更新為目標(biāo)華碩用戶

華碩一直在不知不覺(jué)地推動(dòng)惡意軟件感染用戶的更新，這些用戶使黑客可以通過(guò)后門訪問(wèn)他們的硬件。這些惡意攻擊者設(shè)法感染了華碩用于向其設(shè)備推出軟件更新的服務(wù)器。這是卡巴斯基實(shí)驗(yàn)室1月份首次發(fā)現(xiàn)的一種復(fù)雜的供應(yīng)鏈攻擊，被稱為“ShadowHammer”。

ShadowHammer是一種木馬類型的惡意軟件，它看起來(lái)是合法的，因?yàn)樗幸粋€(gè)簽名證書，并托管在處理更新的華碩服務(wù)器上。它長(zhǎng)時(shí)間未被發(fā)現(xiàn)，因?yàn)榉肿哟_保文件大小與原來(lái)的華碩相同。

卡巴斯基表示，襲擊發(fā)生在2018年6月至11月之間，根據(jù)其遙測(cè)，它影響了大量用戶。

華碩實(shí)時(shí)更新是一個(gè)預(yù)裝在大多數(shù)華碩計(jì)算機(jī)上的實(shí)用程序，用于自動(dòng)更新某些組件，驅(qū)動(dòng)程序和應(yīng)用程序。華碩是全球最大的個(gè)人電腦供應(yīng)商之一，因此，對(duì)于可能希望利用其用戶群的APT集團(tuán)來(lái)說(shuō)，這是一個(gè)極具吸引力的目標(biāo)。

“基于我們的統(tǒng)計(jì)數(shù)據(jù)，超過(guò)57,000名卡巴斯基用戶已經(jīng)在某個(gè)時(shí)間點(diǎn)下載并安裝了華碩Live Update的后門版本，”卡巴斯基表示。“我們無(wú)法僅根據(jù)我們的數(shù)據(jù)來(lái)計(jì)算受影響用戶的總數(shù);但是，我們估計(jì)問(wèn)題的實(shí)際規(guī)模要大得多，并且可能影響全球超過(guò)一百萬(wàn)用戶。”

奇怪的是，ShadowHammer背后的網(wǎng)絡(luò)分子對(duì)大量被感染的計(jì)算機(jī)不感興趣，因?yàn)樗麄兯坪踔会槍?duì)600個(gè)特定的MAC地址，哈希被硬編碼到不同版本的實(shí)用程序中。

卡巴斯基表示這是一個(gè)更大的供應(yīng)鏈?zhǔn)录皇荂Cleaner的惡意軟件侵?jǐn)_。該優(yōu)化應(yīng)用程序于2017年發(fā)布，當(dāng)時(shí)它的新版本被用于向數(shù)百萬(wàn)用戶傳播惡意軟件。

IT Pro已與華碩征求意見(jiàn)。