Asus med opsigtsvækkende udmelding: ShadowHammer-angreb påvirkede kun hundredvis af enheder

Mens Kaspersky og Symantec taler om tusindvis af inficerede enheder som følge af ShadowHammer-angrebet mod ASUS-brugere, så taler computerproducenten selv om hundreder af enheder.

Mere end en million eller få hundrede? Det russiske it-sikkerhedsfirma Kaspersky Lab og computerproducenten Asus er tilsyneladende uenige om, hvor mange mange brugere der er blevet ramt af det såkaldte ShadowHammer-angreb.

I denne uge kunne Kaspersky Lab fortælle, at en ondsindet udgave af værktøjet Asus Live Update er blevet pushed ud til tusindvis af computere via Asus' officielle distributionskanaler. Den slags angreb kaldes også for et supply chain-angreb.

Den russiske virksomhed har endvidere oplyst, at angrebet har stået på fra juni til november 2018.

Malwaren har ifølge Kaspersky været signeret med et Asus-certifikat, så den er gledet ubesværet ind på diverse systemer.

Derudover har den ondsindede kode haft bagdørsfunktionalitet. Det vil sige, at angriberne efterfølgende har kunnet få adgang til de inficerede systemer som følge af malwaren.

Kaspersky Lab har oplyst, at virksomheden har registreret 57.000 inficeringer på systemer, der kører sikkerhedsvirksomhedens software. Samlet har Kaspersky Lab anslået, at mere end en million systemer kan være blevet inficeret i forbindelse med angrebet.

De tal står umiddelbart i skærende kontrast til udmeldinger fra Asus selv. I en meddelelse udsendt tirsdag i denne uge taler Asus om »et mindre antal enheder«, der har fået installeret ondsindet kode.

I denne udmelding nævner virksomheden ikke konkrete tal. I princippet kan det tænkes, at Asus regner eksempelvis over en million enheder som et mindre antal i denne sammenhæng.

I en artikel i Bloomberg under overskriften: 'Asustek Admits PC Hack Attack, Disputes Kaspersky Estimate' er computerproducenten dog mere specifik.

Her er en talsperson for Asus Nick Wu citeret for at sige, at angrebene kun har påvirket (eng. impacted) flere hundrede enheder.

Da der er tale om et indirekte citat, er det muligt, Wus præcise formulering kan have været anderledes. Der kan dog næppe være tvivl om, at Wu har talt om hundredvis og ikke eksempelvis tusindvis af inficerede enheder.

Formulering

Hvad Wu præcist har sagt er ikke helt irrelevant. Det kan tænkes, at Wu med udtrykket »påvirket« reelt henviser til noget andet, end hvor mange enheder der har fået installeret ondsindet kode.

Angrebskoden har ifølge Kaspersky Lab scannet efter specifikke Mac-adresser på de inficerede systemer. Den russiske it-sikkerhedsvirksomhed har identificeret mere end 600 Mac-adresser fra forskellige samples af malwaren.

Der kan være flere Mac-adresser samlet set, da der kan være malware-samples, Kaspersky Lab ikke har analyseret.

En Mac-adresser er et - i udgangspunktet - unikt id for et netværksinterface. Eksempelvis til wifi eller ethernet.

Hvis Mac-adressen på et inficeret system ikke har optrådt på malwarens indkodede liste over Mac-adresser, så har den ondsindede software ifølge Kaspersky Labs udlægning overfor Vice Motherboard forholdt sig så godt som tavs - derudover har systemet selvfølgelig stadig har været inficeret med en bagdør.

Hvis Mac-adressen derimod har været på listen, så har malwaren forsøgt at hente yderligere kode ned på systemet.

Hvad denne anden del af angrebet har bestået i er uvist. Kaspersky Lab har oplyst, at domænet, der har hosted næste del, blev lukket ned, før virksomheden fik fat på kode.

Hvorom alting er, så kan det tænkes, at når Asus taler om, at flere hundrede enheder har været påvirket - og altså ikke eksempelvis tusindvis - så sker det med henvisning til, at malwaren umiddelbart er gået efter systemer med udvalgte Mac-adresser.

Kaspersky: Vi går ud fra ...

»Vi går ud fra, at Asus kun taler om de 600 Mac-adresser, der var udset til yderligere udnyttelse af denne gruppe, men vi ved selvfølgelig ikke, hvad de mener med sikkerhed. Det er mest et spørgsmål til Asus, ikke Kaspersky,« lyder det i et skriftligt svar fra Costin Raiu sendt via Kaspersky Labs pressekontakt til Version2.

Costin Raiu er leder af Kaspersky Labs Global Research and Analysis Team.

»Fra vores synspunkt blev over 57.000 Kaspersky-brugere inficeret med ShadowHammer-bagdøren. Et tilsvarende, dog mindre (10.000+) antal klienter er også blevet bekræftet af Symantec,« oplyser Raiu.

Sidstnævnte er som flere vil vide en amerikansk it-sikkerhedsvirksomhed. Til Vice Motherboard har Symantec oplyst, at man er ved at undersøge sagen, og at mindst 13.000 af it-sikkerhedsvirksomhedens kunder er blevet inficeret af Asus-malwaren sidste år.

Version2 har rettet henvendelse til Asus for at få virksomheden til at uddybe sine udmeldinger i forhold til antallet af enheder. Vi påtænker at vende tilbage, såfremt der kommer nævneværdigt nyt at berette desangående.

CCleaner og Shadowpad

I mailen til Version2 forklarer Costin Raiu desuden, at Kaspersky Lab foreløbig ikke ved, hvordan Mac-adresserne er blevet udvalgt og indsamlet. Men han nævner, det er muligt, adresserne stammer fra tidligere supply chain-angreb.

Specifikt nævner Costin Raiu ShadowPad og angrebet via CCleaner som operationer, der kan være gået forud for angrebene via Asus' systemer.

Kaspersky Lab har tidligere omtalt Shadow Pad her. Angrebet fandt sted i 2017 og var rettet mod en virksomhed, som producerer enterprise-software til server-administration.

Samme gruppe menes ifølge Vice Motherboard at stå bag CCleaner-angrebet, som også fandt sted i 2017. CCleaner bruges af nogle til oprydning på Windows-systemer. I en periode blev en ondsindet og signeret udgave af programmet distribueret via de officielle kanaler. Altså ikke ulig Asus-angrebet.

Ciscos sikkerhedsgruppe Talos har beskrevet CCleaner-operationen her. På samme måde som angrebet via Asus så har CCleaner-angrebet også spejdet efter udvalgte systemer. Det vil sige, at hvis CCleaner-malwaren har registreret, at den befinder sig på et system, der opfylder visse parametre, så har den hentet yderligere malware ned.

Og ifølge Kaspersky Lab så var netop Asus en af de organisationer, som CCleaner-angrebet var rettet mod.

Det fremgår i øvrigt også af denne liste fra sikkerhedsvirksomheden Avast i forhold til CCleaner-operationen.

Kaspersky Lab har oplyst, at virksomheden ikke er i stand til at sige præcist, hvem der står bag ShadowHammer, på nuværende tidspunkt.

Virksomheden forventer at oplyse nærmere om angrebet i forbindelse med Kaspersky Labs egen it-sikkerhedskonference, 'Security Analyst Summit', der finder sted i Singapore 9.-11. april.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere