Tjek om Asus-malware har været på udkig efter netop din Mac-adresse

3 kommentarer.  Hop til debatten
Tjek om Asus-malware har været på udkig efter netop din Mac-adresse
Illustration: alexskopje / bigstock.
Signeret malware skubbet ud via Asus' officielle distribueringskanal er gået målrettet efter mere end 600 Mac-adresser, oplyser it-sikkerhedsfirma.
Reportage27. marts 2019 kl. 05:11
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Den malware, der ifølge Kaspersky Lab er udsendt fra Asus' officielle opdateringsserver til tusindvis af computere, har spejdet efter specifikke Mac-adresser. I alt har den russiske it-sikkerhedsvirksomhed identificeret mere end 600 unikke Mac-adresser, som malwaren har scannet efter. Der kan dog være flere.

Sikkerhedsvirksomheden kalder cyberangrebet for Shadowhammer. Den skadelige software har en bagdørsfunktionalitet, oplyser Kaspersky Lab i et blogindlæg.

Kaspersky Lab har lavet en hjemmeside, hvor man kan indtaste sin Mac-adresse for at se, om den er på listen over de adresser, malwaren har været målrettet.

Virksomheden har også udviklet et program til at gennemføre et offline-tjek med. Det er en exe-fil, der kan hentes her.

Artiklen fortsætter efter annoncen

Hvis din Mac-adresse faktisk optræder på listen, så vil Kaspersky Lab gerne høre om det på shadowhammer@kaspersky.com

Version2 har tidligere kort omtalt, hvordan computerproducenten Asus er blevet udsat for et såkaldt supply-chain-angreb.

I dette tilfælde indebærer det, at virksomhedens egne systemer er blevet inficeret på en måde, så malware er blevet skubbet ud til tusindvis af computere.

Maskinerne er ifølge Kaspersky Lab blevet inficeret via en ondsindet udgave af programmet Asus Live update. Programmet bruges til at opdatere blandt andet Bios og drivere på maskinerne. Skadelige udgaver af Asus Live Update er blevet distribueret via computerproducentens officielle domæne, asus.com, forklarer Kaspersky Lab i blogindlægget.

De onde udgaver af programmet har uden de store problemer kunnet installeres på systemer, da de har været signeret via officielle Asus-certifikater.

Kaspersky Lab oplyser, at 57.000 brugere af sikkerhedsvirksomhedens produkter har installeret den ondsindede udgave af programmet. I den forbindelse lyder vurderingen fra Kaspersky Lab, at mere end en million brugere på verdensplan kan have fået den skadelige software installeret.

Ifølge Kaspersky Lab er det ondsindede indhold blevet sendt ud i perioden juni 2018 til november 2018.

It-sikkerhedsmessen Infosecurity Denmark 2019 byder på mere end 110 seminarer og cases, 25 udvalgte keynotes og 80 udstillere. To dage med masser af faglig viden og netværk d. 1. og 2. maj i Øksnehallen i København.

Konferenceprogrammet dækker compliance, cybercrime, IoT, nye teknologier som AI og blockchain samt data og cloud og giver et unikt indblik i de nyeste it-sikkerhedsmæssige udfordringer på et højt fagligt niveau.

Du bliver også opdateret om både de nyeste tekniske landvindinger fra spydspidsforskere og får indblik i aktuelle trusselsbilleder fra nogle af verdens bedste rådgivere.

Læs mere og tilmeld dig

Læs mere om Version2 Data & Cloud Expo, der afholdes sammen med Infosecurity Denmark

Svar fra Asus

Ifølge Vice Motherboard, som har talt med blandt andet sikkerhedsforskere fra Kaspersky om sagen, så er den skadelige software blevet pushed ud til maskiner, der har haft Asus Live Update forudinstalleret.

Sikkerhedsforsker hos Kaspersky Vitaly Kamluk fortæller til Vice Motherboard, at Kaspersky opdagede problemet 29. januar og orienterede Asus 31. januar. 14. februar var der et møde mellem Asus og Kaspersky, og ifølge Kamluks udlægning overfor Vice Motherboard - udlægningen er bragt mandag i denne uge - har Asus stort set ikke reageret siden da.

ASUS har imellemtiden, det vil sige tirsdag i denne uge, bragt en udtalelse om sagen på virksomhedens hjemmeside. Virksomheden nævner ikke konkret, hvor mange maskiner der har modtaget skadelig software som følge af angrebet. I stedet nøjes Asus med denne formulering angående omfanget:

»Et mindre antal enheder har fået implementeret ondsidnet kode via et sofistikeret angreb på vores Live Update-servere i et forsøg på at ramme en meget lille og specifik brugergruppe.«

Asus bemærker på sitet, at det kun er Live Update til laptops (eng.: notebooks), der har været påvirket af angrebet.

Derudover fortæller Asus, at den seneste version af Live Update har fået en rettelse, der introducerer flere sikkerhedsmekanismer, som skal forhindre ondsindet manipulation af software. Computerproducenten oplyser desuden, at en såkaldt server-to-end-user-softwarearkitektur er blevet styrket for at forhindre lignende angreb i at finde sted i fremtiden.

Asus opfordrer kunder, der måtte være bekymrede, til at anvende et sikkerhedsværktøj, virksomheden har lagt ud her (ZIP).

Mac-adresser

I den skadelige udgave af Asus Live Update har en stribe Mac-adresser ligget hardcoded. Mac-adressen er en unik adresse for et systems netværksinterface. Der kan være flere interfaces, eksempelvis wifi og ethernet, og dermed Mac-adresser i et system.

Ifølge Vice Motherboards gengivelse har Mac-adresserne ligget som et MD5-hash i malwaren.

Malwaren har nappet Mac-adressen fra det inficerede system og matched den op mod listen med MD5-hashede adresser. Kaspersky Lab oplyser, at man har identificeret mere end 600 unikke Mac-adresser, som forskellige samples af malwaren har tjekket op mod. Der kan samlet set være flere Mac-adresser fordelt i andre samples af malwaren, oplyser virksomheden.

Hvis et inficeret systems Mac-adresse ikke var på listen, så skete der ingenting. Udover at systemet selvfølgelig stadig ville have den skadelige software installeret.

Var Mac-adressen derimod i den indbyggede liste, så forsøgte malwaren at hente mere software fra spoof-domænet asushotfix.com, der var lavet til at ligne et officielt Asus-site.

Vice Motherboard oplyser, at domænet var lukket ned i november, og altså før Kaspersky opdagede angrebet, og derfor har virksomheden heller ikke en fået en sample af denne del af malwaren.

»De prøvede ikke at ramme så mange brugere som muligt,« siger Kamluk til Vice Motherboard og fortsætter:

»De ville ind i specifikke mål, og de kendte på forhånd deres (målenes, red.) netværkskorts Mac-adresse, hvilket er ret interessant.«

Som nogle vil vide, er det ikke nødvendigvis vanskeligt at få fat i en Mac-adresse. En computers wifi-signal udsender således i udgangspunktet også Mac-adressen på det trådløse netværks-interface.

Når angrebet er gået ubemærket hen i relativ lang tid, skyldes det ifølge Kasperskys blogindlæg, at malwaren har været signeret. Derudover bemærkes det i Vice Motherboards artikel, at relativt få inficerede systemer forsøgte at kontakte asushotfix.com i forhold til at hente den formodede anden del af malwaren, og det har medvirket til, at holde angrebet under radaren.

Kaspersky Lab oplyser, at virksomheden ikke er i stand til at sige præcist, hvem der står bag angrebet på nuværende tidspunkt.

Læs eventuelt flere detaljer hos Vice Motherboard og hos Kaspersky Lab.

OPDATERET 10:16. Artiklen er præciseret, så det tydeligere fremgår, at Kaspersky Lab er afsender på oplysningen om, at tusindvis af computere er blevet inficeret med den skadelige software. Derudover er det blevet tilføjet, at den ondsindede software ifølge Kaspersky Lab indeholder bagdørsfunktionalitet.

3 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
3
27. marts 2019 kl. 12:26

hvorfor starter de altid efter du har tilsluttet dig en virus scanner! det smager lidt af BAD MARKETING !

2
27. marts 2019 kl. 11:12

Hvor stor interesse har denne sikkerheds branche i at holde "ild i det brændende bål". Den er sikkert ikke lille?

Jeg stiller mig selv det spørgsmål: Hvordan opsporer de til eksempel Asus problemet, --og hvor får de de informationerne fra, hvem financierer dem osv? Er det måske også branchen selv der "opfinder" og deployer en del af disse incidents. Hvem kontrollere denne branche. -- Div. efterretnigsvæsener?

Mvh.

1
27. marts 2019 kl. 10:33

... er ikke oplyst, men eksemplet viser igen det nyttige i at bruge flere AV-programmer samtidigt fra forskellige magtblokke. For når russerne som de eneste opsporer det her, er det vel ikke fordi fx USAs sikkerhedsfirmaer er dummere - men mere sandsynligt at dette angreb er målrettet af en efterretningstjeneste.