Serviciul Live Update, responsabil cu aplicarea de actualizări pe PC-uri Asus, deturnat pentru instalarea de malware

Aproximativ 1 milion de sisteme Windows produse de Asus şi echipate cu software-ul Live Update pentru instalarea automată a actualizărilor au primit aplicaţii malware, descărcate de pe servere Asus compromise de hackeri.

Potrivit analizei făcute de experţii în securitate cibernetică ai Kaspersky Lab, atacatorii au reuşit să ascundă aplicaţiile infectate aplicând un certificat de securitate digital semnat Asus. Odată strecurat în sistemul de livrare automată actualizărilor software, malware-ul apărea ca şi actualizări software de importanţă “critică”.

Nu este clar exact care a fost scopul atacurilor, însă primele investigaţii arată că hackerii urmăreau cu precădere anumiţi clienţi Asus: malware-ul strecurat conţinea instrucţiuni speciale pentru 600 de sisteme Windows, identificate precis după adresa MAC a dispozitivului de reţea. La detectarea unui PC de pe lista celor vizate de atac, falsa actualizare Windows strecura şi alte aplicaţii create cu scopul de a facilita infiltrarea suplimentară de către atacatori.

În caz contrar, updater-ul infiltrat nu afişa nicio activitate de reţea, motiv pentru care a rămas nedescoperit atâta vreme.

Operaţiunea numită ShadowHammer a rămas mult timp nedetectată tocmai pentru că în afara sistemelor dinainte selectate drept ţintă, sofware-ul folosit pentru facilitarea atacurilor lua nicio acţiune care să îi trădeze prezenţa, părând complet inofensiv.

Căutarea de malware similar a scos la iveală software-ul de la alţi trei furnizori din Asia, toţi folosind metode şi tehnici foarte asemănătoare. Kaspersky Lab a raportat problema către Asus şi alţi furnizori.