עדכוני תוכנה תמימים למראה של ASUS חשפו המוני משתמשים לתוכנה זדונית

חוקרים בחברת האבטחה קספרסקי חשפו כי מאות אלפי מחשבים מתוצרת ASUS היו חשופים לפרצת אבטחה מסוג ׳דלת אחורית׳ שהוסוותה באופן די מושלם

מקור: Pixabay

1.4.19 – הכתבה עודכנה עם תגובה רשמית של ASUS

מידי כמה זמן אנחנו מתבקשים לעדכן את גרסת התוכנה בסמארטפון או במחשב שלנו, ומדובר בפעולה שגרתית למדי שאנחנו כבר רגילים לעשות. אלא שכעת מתברר כי האקרים ניצלו את העובדה הזו על מנת להחדיר למחשבים מתוצרת ASUS, אחת מיצרניות המחשבים המוכרות והגדולות בעולם, קובץ זדוני שהתגנב לעדכון תוכנה שנראה לגיטימי לחלוטין.

פוטנציאל להגיע ליותר ממיליון משתמשים ברחבי העולם

מי שעומדת מאחורי הגילוי האחרון היא מעבדת קספרסקי, שחשפה קמפיין חדש של איום מתמשך, מה שנקרא APT, שפעל באמצעות מתקפה מסוג ״שרשרת אספקה״; במסגרת הפרשה המדוברת, הותקפה תוכנת ASUS Live Update Utility כנקודת המוצא באמצעות הזרקה של דלת אחורית. התוכנה המדוברת מותקנת באופן מובנה במרבית מחשבי ה-ASUS החדשים על מנת לבצע עדכונים אוטומטיים של אפליקציות, דרייברים ו-BIOS.

באמצעות תעודות דיגיטליות גנובות ששימשו את ASUS כדי לבצע חתימה לקוד שהיא מפיצה, התוקפים הצליחו לחבל בגרסאות ישנות יותר של התוכנה, כשהם מצליחים להזריק אליהן את הקוד הזדוני שלהם. הגרסאות הפגומות של הכלי נחתמו עם תעודות לגיטימיות, ונשמרו והופצו בשרתי העדכון הרשמיים של ASUS – דבר שהפך אותן לבלתי נראות עבור רוב פתרונות ההגנה. כתוצאה מכך, כל משתמש בתוכנת העדכון הנגועה עלול היה להפוך לקורבן, ואנחנו מדברים על פוטנציאל של מאות אלפים ואולי אפילו מיליוני משתמשים.

בפועל, התוקפים התמקדו בהשגת גישה למאות בודדות של משתמשים, לגביהם היה להם מידע מוקדם. חוקרי מעבדת קספרסקי חשפו כי כל קוד של דלת אחורית הכיל טבלה של מקודדת של כתובות MAC –המזהה הייחודי של מתאמי רשת המשמשים לצורך חיבור של מחשב לרשת. ברגע שהדלת האחורית הופעלה במחשב הקורבן, היא בדקה את כתובת ה-MAC אל מול הטבלה המקודדת. אם הכתובת תאמה לאחד מהמספרים בטבלה, הקוד הזדוני הוריד את השלב הבא של הקוד. אחרת, תוכנת העדכון הפרוצה לא ביצעה שום פעילות ברשת, דבר שאפשר לה להישאר נסתרת לזמן רב. בסך הכל, מומחי האבטחה הצליחו לזהות יותר מ-600 כתובות MAC. אלה הותקפו באמצעות יותר מ-230 דוגמיות ייחודיות של דלת אחורית עם shellcodes שונים.

במסגרת חיפוש אחר קוד זדוני דומה, חשפה קספרסקי תוכנה של שלושה ספקים נוספים באסיה אשר נפרצו עם דלת אחורית בשיטות וטכניקות דומות מאוד. בנוהל, קספרסקי דיווחה על הבעיה ל-Asus ולספקים האחרים, כאשר ההתקפה המדוברת נערכה בתקופה שבין יוני לנובמבר 2018.

מאסוס נמסר בתגובה: “מתקפות APT – Advanced Persistent Threat הן מתקפות המתרחשות בדרך כלל ביוזמה של מספר מדינות ספציפיות, ומתמקדות בדרך כלל בארגונים בינלאומיים או ישויות מסוימות ולא בצרכני הקצה. מחשבי ASUS מצוידים בכלי ה- Live Update מבית ASUS, כדי להבטיח שהמערכות מעודכנות תמיד בקושחה ובמנהלי ההתקן העדכניים ביותר של ASUS. במספר קטן של מכשירים הוטמע קוד זדוני המבצע התקפה מתוחכמת על שרתי ה- Live Update של החברה בניסיון לתקוף קבוצת משתמשים קטנה מאוד וספציפית.

לאחר היוודע המקרה, שירות הלקוחות של ASUS הגיע אל המשתמשים המושפעים וכעת מספק להם סיוע,  כדי להבטיח שסיכוני האבטחה יוסרו. כמו כן, ASUS הטמיעה תיקון בגרסה העדכנית של תכנת ה-Live Update 3.6.8, שהכילה מספר מנגנוני אבטחה ואימות, למניעת כל מניפולציה זדונית בתצורת עדכוני תכנה או באמצעים אחרים. בנוסף, החברה הטמיעה הצפנת end-to-end מוגברת ועדכנה את ארכיטקטורת תכנת ה- Server-to-end-user למניעת התקפות דומות שעלולות להתרחש בעתיד. החברה יצרה כלי אבחון מקוון לבדיקה של מערכות שהושפעו מההתקפה, וכמשנה זהירות החברה ממליצה למשתמשים להריץ את הכלי על מערכות ה- ASUS שלהם.”

הכלי ניתן להורדה מהלינק הבא

המקום שלכם לעדכן ולהתעדכן המקום שלכם לעדכן ולהתעדכן להצטרפות לקבוצת הפייסבוק הסגורה של גיקטיים, לחצו כאן

הילה חיימוביץ׳

גיקית, Deal With It

הגב

3 תגובות על "עדכוני תוכנה תמימים למראה של ASUS חשפו המוני משתמשים לתוכנה זדונית"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
יjj
Guest

מתוחכם ממש. אז מה היתה החולשה בפועל של ASUS שאפשרה לגנוב את התעודות הדיגיטליות?

ממשלות
Guest

אז זה תוכנת ריגול של הסינים או של האמריקאים? אפשר לדעת לפי זהות הקורבנות…

????
Guest

רגע הפריצה עוד קיימת ?

wpDiscuz

תגיות לכתבה: