Hackers kapen ASUS software-updates om back doors te installeren

Hackers hebben volgens onderzoekers van beveiligingsbedrijf Kaspersky Lab, een server van computerfabrikant ASUS overgenomen voor het installeren van een back door op reeds aan klanten verkochte computers van het bedrijf. De inbraak werd al  afgelopen januari ontdekt. 

De hackers wisten de server binnen te dringen waarmee ASUS software-updates verstuurd naar de computers van eindgebruikers, schrijft Motherboard. Volgens Kaspersky werd de back door vijf maanden lang naar klanten verstuurd, voordat het probleem werd ontdekt. Het malafide bestand was ondertekend met legitieme digitale certificaten van de fabrikant, waardoor het leek alsof er een legitieme software-update werd geïnstalleerd.

De onderzoekers schatten dat een half miljoen Windows-machines de malafide back door via de update-server hebben ontvangen. De aanvallers lijken echter slechts zeshonderd van die systemen als doelwit te hebben gehad. De malware zocht namelijk naar die systemen via hun unieke MAC-adres. Als de malware zo’n adres vond en op dat systeem stond, maakte het verbinding met een command-and-control-server van de aanvallers, waarna er vervolgens meer malware werd geïnstalleerd.

Security-specialist Symantec heeft de bevindingen van Kaspersky bevestigd.

Ontdekking en reactie

Kaspersky Lab stelt dat het de aanval in januari op het sppor kwam toen het beveiligingsbedrijf nieuwe supply chain detection-technologie to aan zijn scanning-tool toevoegde om afwijkende code-fragmenten in legitieme code op te sporen. Op 29 januari van dit jaar werd de malware voor het eerst op een besmet device ontdekt. Op 31januari werd ASUS op de hoogte gesteld en op 14 februari is er een ontmoeting geweest tussen Kaspersky en de computerfabrikant.

Kaspersky stelt dat het bedrijf sindsdien weinig van zich heeft laten horen en zijn klanten niet van het probleem op de hoogte heeft gesteld. Motherboard stuurde ASUS een lijst met de claims die Kaspersky in drie afzonderlijke e-mails maakte. Het medium heeft echter niets van de hardwarefabrikant gehoord.

Na de berichtgeving van Motherboard kwam het bedrijf echter wel met een verklaring. Daarin stelt het dat dergelijke aanvallen – ook wel Advanced Persistent Threat (ATP) aanvallen genoemd – normaal gesproken gestart worden door “een aantal specifieke landen, met bepaalde internationale organisaties of entiteiten als doelwit”. Consumenten zouden geen doelwit zijn.

Oplossing

Het bedrijf stelt in zijn verklaring verder dat “een klein aantal” apparaten het slachtoffer werd van de back door. “De klantendienst van ASUS heeft contact opgenomen met getroffen gebruikers en hulp geboden om er zeker van te zijn dat de beveiligingsrisico’s verwijderd zijn.”

Ook is er een oplossing voor het probleem doorgevoerd in de laatste versie van Live Update, versie 3.6.8. Daarin zitten meerdere verificatiemechanismes om te voorkomen dat malafide manipulatie in de vorm van software-updates of andere manieren ingezet kunnen worden. Ook is er een verbeterd end-to-end-encryptiemechanisme ingezet.