Tjek om Asus-malware har været på udkig efter netop din Mac-adresse

Illustration: alexskopje / bigstock
Signeret malware skubbet ud via Asus' officielle distribueringskanal er gået målrettet efter mere end 600 Mac-adresser, oplyser it-sikkerhedsfirma.

Den malware, der ifølge Kaspersky Lab er udsendt fra Asus' officielle opdateringsserver til tusindvis af computere, har spejdet efter specifikke Mac-adresser. I alt har den russiske it-sikkerhedsvirksomhed identificeret mere end 600 unikke Mac-adresser, som malwaren har scannet efter. Der kan dog være flere.

Sikkerhedsvirksomheden kalder cyberangrebet for Shadowhammer. Den skadelige software har en bagdørsfunktionalitet, oplyser Kaspersky Lab i et blogindlæg.

Kaspersky Lab har lavet en hjemmeside, hvor man kan indtaste sin Mac-adresse for at se, om den er på listen over de adresser, malwaren har været målrettet.

Virksomheden har også udviklet et program til at gennemføre et offline-tjek med. Det er en exe-fil, der kan hentes her.

Hvis din Mac-adresse faktisk optræder på listen, så vil Kaspersky Lab gerne høre om det på shadowhammer@kaspersky.com

Version2 har tidligere kort omtalt, hvordan computerproducenten Asus er blevet udsat for et såkaldt supply-chain-angreb.

I dette tilfælde indebærer det, at virksomhedens egne systemer er blevet inficeret på en måde, så malware er blevet skubbet ud til tusindvis af computere.

Maskinerne er ifølge Kaspersky Lab blevet inficeret via en ondsindet udgave af programmet Asus Live update. Programmet bruges til at opdatere blandt andet Bios og drivere på maskinerne. Skadelige udgaver af Asus Live Update er blevet distribueret via computerproducentens officielle domæne, asus.com, forklarer Kaspersky Lab i blogindlægget.

De onde udgaver af programmet har uden de store problemer kunnet installeres på systemer, da de har været signeret via officielle Asus-certifikater.

Kaspersky Lab oplyser, at 57.000 brugere af sikkerhedsvirksomhedens produkter har installeret den ondsindede udgave af programmet. I den forbindelse lyder vurderingen fra Kaspersky Lab, at mere end en million brugere på verdensplan kan have fået den skadelige software installeret.

Ifølge Kaspersky Lab er det ondsindede indhold blevet sendt ud i perioden juni 2018 til november 2018.

Svar fra Asus

Ifølge Vice Motherboard, som har talt med blandt andet sikkerhedsforskere fra Kaspersky om sagen, så er den skadelige software blevet pushed ud til maskiner, der har haft Asus Live Update forudinstalleret.

Sikkerhedsforsker hos Kaspersky Vitaly Kamluk fortæller til Vice Motherboard, at Kaspersky opdagede problemet 29. januar og orienterede Asus 31. januar. 14. februar var der et møde mellem Asus og Kaspersky, og ifølge Kamluks udlægning overfor Vice Motherboard - udlægningen er bragt mandag i denne uge - har Asus stort set ikke reageret siden da.

ASUS har imellemtiden, det vil sige tirsdag i denne uge, bragt en udtalelse om sagen på virksomhedens hjemmeside. Virksomheden nævner ikke konkret, hvor mange maskiner der har modtaget skadelig software som følge af angrebet. I stedet nøjes Asus med denne formulering angående omfanget:

»Et mindre antal enheder har fået implementeret ondsidnet kode via et sofistikeret angreb på vores Live Update-servere i et forsøg på at ramme en meget lille og specifik brugergruppe.«

Asus bemærker på sitet, at det kun er Live Update til laptops (eng.: notebooks), der har været påvirket af angrebet.

Derudover fortæller Asus, at den seneste version af Live Update har fået en rettelse, der introducerer flere sikkerhedsmekanismer, som skal forhindre ondsindet manipulation af software. Computerproducenten oplyser desuden, at en såkaldt server-to-end-user-softwarearkitektur er blevet styrket for at forhindre lignende angreb i at finde sted i fremtiden.

Asus opfordrer kunder, der måtte være bekymrede, til at anvende et sikkerhedsværktøj, virksomheden har lagt ud her (ZIP).

Mac-adresser

I den skadelige udgave af Asus Live Update har en stribe Mac-adresser ligget hardcoded. Mac-adressen er en unik adresse for et systems netværksinterface. Der kan være flere interfaces, eksempelvis wifi og ethernet, og dermed Mac-adresser i et system.

Ifølge Vice Motherboards gengivelse har Mac-adresserne ligget som et MD5-hash i malwaren.

Malwaren har nappet Mac-adressen fra det inficerede system og matched den op mod listen med MD5-hashede adresser. Kaspersky Lab oplyser, at man har identificeret mere end 600 unikke Mac-adresser, som forskellige samples af malwaren har tjekket op mod. Der kan samlet set være flere Mac-adresser fordelt i andre samples af malwaren, oplyser virksomheden.

Hvis et inficeret systems Mac-adresse ikke var på listen, så skete der ingenting. Udover at systemet selvfølgelig stadig ville have den skadelige software installeret.

Var Mac-adressen derimod i den indbyggede liste, så forsøgte malwaren at hente mere software fra spoof-domænet asushotfix.com, der var lavet til at ligne et officielt Asus-site.

Vice Motherboard oplyser, at domænet var lukket ned i november, og altså før Kaspersky opdagede angrebet, og derfor har virksomheden heller ikke en fået en sample af denne del af malwaren.

»De prøvede ikke at ramme så mange brugere som muligt,« siger Kamluk til Vice Motherboard og fortsætter:

»De ville ind i specifikke mål, og de kendte på forhånd deres (målenes, red.) netværkskorts Mac-adresse, hvilket er ret interessant.«

Som nogle vil vide, er det ikke nødvendigvis vanskeligt at få fat i en Mac-adresse. En computers wifi-signal udsender således i udgangspunktet også Mac-adressen på det trådløse netværks-interface.

Når angrebet er gået ubemærket hen i relativ lang tid, skyldes det ifølge Kasperskys blogindlæg, at malwaren har været signeret. Derudover bemærkes det i Vice Motherboards artikel, at relativt få inficerede systemer forsøgte at kontakte asushotfix.com i forhold til at hente den formodede anden del af malwaren, og det har medvirket til, at holde angrebet under radaren.

Kaspersky Lab oplyser, at virksomheden ikke er i stand til at sige præcist, hvem der står bag angrebet på nuværende tidspunkt.

Læs eventuelt flere detaljer hos Vice Motherboard og hos Kaspersky Lab.

OPDATERET 10:16. Artiklen er præciseret, så det tydeligere fremgår, at Kaspersky Lab er afsender på oplysningen om, at tusindvis af computere er blevet inficeret med den skadelige software. Derudover er det blevet tilføjet, at den ondsindede software ifølge Kaspersky Lab indeholder bagdørsfunktionalitet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Tom Paamand

... er ikke oplyst, men eksemplet viser igen det nyttige i at bruge flere AV-programmer samtidigt fra forskellige magtblokke. For når russerne som de eneste opsporer det her, er det vel ikke fordi fx USAs sikkerhedsfirmaer er dummere - men mere sandsynligt at dette angreb er målrettet af en efterretningstjeneste.

Per Larsen

Hvor stor interesse har denne sikkerheds branche i at holde "ild i det brændende bål". Den er sikkert ikke lille?

Jeg stiller mig selv det spørgsmål: Hvordan opsporer de til eksempel Asus problemet, --og hvor får de de informationerne fra, hvem financierer dem osv?
Er det måske også branchen selv der "opfinder" og deployer en del af disse incidents.
Hvem kontrollere denne branche. -- Div. efterretnigsvæsener?

Mvh.

Log ind eller Opret konto for at kommentere