SIKKERHET

Asus-server ble kapret av ondsinnede. Se opp for bakdører på PC-en

Mer enn en million PC-er kan ha blitt berørt.

Det er ikke kjent hvilke PC-modeller fra Asus som er berørt av det omtalte angrepet. Bilde viser en Asus TUF Gaming FX705.
Det er ikke kjent hvilke PC-modeller fra Asus som er berørt av det omtalte angrepet. Bilde viser en Asus TUF Gaming FX705. Illustrasjonsfoto: Asus
Harald BrombachHarald BrombachNyhetsleder
26. mars 2019 - 10:13 | Endret 26. mars 2019 - 14:23

Nettstedet Motherboard avslørte på mandag at skadevare kan ha blitt distribuert ut til hundretusenvis av PC-er fra Asus via selskapets automatiske verktøy for programvareoppdateringer, ASUS Live Update Utility. Dette skal ha skjedd etter at hackere hadde kompromittert en av selskapets servere, trolig på et tidspunkt i fjor. 

Pågikk i flere måneder

Det er Kaspersky Lab som oppdaget dette i januar i år, noe selskapet omtaler i dette blogginnlegget. Distribusjonen av skadevare skal ha pågått i perioden juni og november 2018. Det russiske IT-sikkerhetsselskapet kaller angrepet for Operation ShadowHammer.

Den aktuelle skadevaren skal ha bestått av en bakdør. Filen skal ha vært signert med et ekte, digitalt sertifikat fra Asus. 

Hvor mange PC-er som faktisk er berørt av skadevaren, er uklart, men den er registrert på PC-ene til mer enn 57.000 brukere av Kasperskys antivirusverktøy. Selskapet ser derfor ikke bort fra at så mange som en million PC-er kan være berørt. 

Omfattende, men likevel rettet

Til tross for den store spredningen, ser operasjonen ut til å være relativt rettet. De faktiske målene er oppgitt i skadevaren, i form av unike MAC-adresser som benyttes av PC-enes nettverksadaptere. Kaspersky Lab har fått tak i mer enn 200 eksemplarer av skadevaren og har fra disse funnet mer enn 600 unike MAC-adresser. Selskapet ser ikke bort fra at det andre eksemplarer av skadevaren kan inneholde lister med helt andre MAC-adresser. 

Kaspersky tilbyr via denne siden et verktøy som kan kjøres på Asus-PC-er for å sammenligne MAC-adressene til PC-ens nettverksadresser med de drøyt 600 på listen. Det er også mulig å sjekke spesifikke MAC-adresser ved å taste inn adressen på denne siden.

Det skal kun være maskiner med disse MAC-adressene som har tatt kontakt med angripernes kommando- og kontrollserver (C&C) for å få installert ytterligere skadevare. 

Nettopp det at såpass få av de infiserte PC-ene har tatt kontakt med C&C-serveren, skal ha bidratt til at det har tatt lang tid å oppdage skadevaren. Angrepene stoppet i november fordi C&C-serveren av ukjente årsaker ble stengt. Serveren skal ha benyttet domenet asushotfix.com.

Det er uklart hvorfor akkurat PC-ene med disse MAC-adressene er valgt ut. 

Funnet i mange land

Skadevaren har blitt funnet av Kaspersky Lab på PC-er i en rekke land. Særlig gjelder dette Russland, Tyskland og Frankrike. Selskapet innrømmer at disse tallene er sterkt påvirket av distribusjonen av selskapets egne løsninger, men hevder at fordelingen likevel stemmer godt overens med den globale distribusjonen av Asus-kunder. 

Ifølge Motherboard skal Asus ha nektet for at selskapets server var blitt kompromittert da selskapet ble kontaktet av Kaspersky Lab den 31. januar i år. Men i forrige uke skal amerikanske Symantec ha bekreftet funnene til Kaspersky. Mandag denne uken skrev selskapet i et blogginnlegg at den aktuelle skadevaren har blitt funnet på minst 13.000 PC-er med sikkerhetsprogramvare fra Symantec. 

Interessant nok har Symantec observert en helt annen distribusjon av skadevaren enn det Kaspersky har gjort. Landene med flest berørte Symantec-kunder er USA, Australia og Italia. 

Fellestrekk med tidligere angrep

Ifølge Kaspersky er det ikke mulig å si noe nøyaktig om hvem som står bak skadevaren, men det skal ha blitt funnet visse spor som knytter angrepet til et angrep i 2017 som ble kalt for ShadowPad. Aktøren bak dette skal av Microsoft ha blitt identifisert som BARIUM, en aktiv APT-aktør (Advanced Persistent Threat) som tidligere har blitt kalt for Winnti Group.

Kaspersky Lab antyder ingenting om hvilket land gruppen hører hjemme i. Som NorCERT-leder Håkon Bergsjø sa under Sikkerhetskonferansen til NSM i forrige uke, ser de fleste angrep ut til å stamme fra Russland og Kina, selv om man vet at slikt aktivitet foregår med utgangspunkt i mange flere land. 

Etter det digi.no har blitt fortalt, har Asus ennå ikke kommet med noen offisiell uttalelse om dette angrepet. Ifølge Tommy Klang ved Asus Nordic er det ventet en uttalelse fra sentralt hold i løpet av dagen, amerikansk tid.

Dermed er det heller ikke kjent hva eierne av PC-er fra Asus nå bør gjøre. En del antivirusprodukter vil kunne kjenne igjen selve bakdøren og vil potensielt kunne fjerne denne. Det er ikke kjent hva slags annen skadevare som kan ha blitt installert på de utvalgte PC-ene.

Leveransekjedeangrep

Den typen angrep som nå har rammet mange brukere av Asus-PC-er, kalles for leveransekjedeangrep («supply chain attack»). Det mest kjente angrepet av denne typen var NotPetya. Angrepet startet ved at noen få systemer ble infisert gjennom det som var en legitim oppdatering av den ukrainske bokføringsprogrammet MeDoc. Deretter tok skadevaren i bruk andre mekanismer for å bli spredt internt i de berørte virksomhetene. 

Uttalelse fra Asus

Asus kom tirsdag ettermiddag med en offisiell uttalelse om angrepet, som selskapet bekrefter. Riktignok hevdes det at angrepet bare berører et lite antall enheter og var rettet mot en enda mindre og spesifikk brukergruppe. Selskapet opplyser at det allerede har henvendt seg til berørte kunder for å tilby hjelp til å fjerne skadevaren. 

Selskapet opplyser også at det har forsterket både ASUS Live Update-verktøyet (fra og med versjon 3.6.8) og programvarearkitekturen mellom verktøyet og serverne, for å hindre at slike angrep skjer igjen. 

Asus tilbyr nå et verktøy som kundene kan bruke for å sjekke om deres PC-er er berørt. 

Les også:  – Enhver stat med respekt for seg selv, driver med hackerangrep (Digi Ekstra)

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.