Хакеры ShadowHammer через уязвимость в программном обеспечении для обновления драйверов в режиме онлайн Asus Live Update избирательно атаковали более 600 пользователей, говорится в исследовании "Лаборатории Касперского".
Asus Live Update предустанавливается на большинстве новых компьютеров Asus для автоматического обновления системного ПО (включая BIOS, UEFI, приложения и драйверы). Согласно сообщению, в период с июня по ноябрь 2018 года злоумышленники внедрили в это ПО бэкдор (лазейку), который, по оценкам экспертов "Лаборатории Касперского", поставил под угрозу безопасность более 1 миллиона пользователей по всему миру.
ПО Asus использовалось как первоначальный источник заражения. Хакеры внедряли вредоносный код в модифицированные старые версии ПО, каждый код содержал таблицу со списком определённых MAC-адресов (уникальных идентификационных кодов, которые присваиваются сетевым картам для подсоединения к сети). После запуска на устройстве жертвы зловред проверял, входит ли этот MAC-адрес в список, и если он подходил, то загружался следующий модуль вредоносного кода. В противном случае эта утилита не проявляла никакой дополнительной сетевой активности, и поэтому атака долго оставалась необнаруженной.
"В общей сложности исследователи смогли идентифицировать свыше 600 MAC-адресов в этом списке. ... При исполнении вредоносного кода применялся модульный подход и были предприняты дополнительные меры предосторожности, чтобы предотвратить случайную утечку кода или данных. Это указывает на то, что злоумышленникам было очень важно оставаться незамеченными, атаки же на определённые цели они проводили с хирургической точностью", - говорится в документе.
"Выбранные компании являются чрезвычайно привлекательными мишенями для злоумышленников, которые, вероятно, хотят воспользоваться обширной клиентской базой организаций в своих целях. На данный момент мы не знаем, какой была конечная цель этой атаки, также мы всё ещё расследуем, кто за ней стоял", – сказано в релизе.