NEWS: przez kilka miesięcy ASUS Live Update rozsyłał użytkownikom trojana ShadowHammer

Aktualizacja – ASUS odniósł się do sprawy
ASUS ZenBook Pro 15 to naprawdę wydajny model – niestety, cena przekracza 8,5 tysiąca złotych (fot. Krzysztof Bogacki/CHIP)

ASUS ZenBook Pro 15 to naprawdę wydajny model – niestety, cena przekracza 8,5 tysiąca złotych (fot. Krzysztof Bogacki/CHIP)

Zwykle ufamy aplikacjom dostarczonym przez producenta sprzętu. Najczęściej służą one do regulacji planów zasilania, ustawień audio czy overclockingu lub, jak w przypadku ASUS Live Update, do aktualizacji sterowników …a przez kilka miesięcy w ubiegłym roku do ściągania trojanów. To niestety nie żart. Cyberprzestępcy zdobyli dostęp do serwerów ASUS-a. Zmodyfikowane przez nich narzędzie aktualizacyjne odkryła firma Kaspersky, a trojana nazwała ShadowHammer. Zagrożenie zostało jednak wykryte z opóźnieniem – z powodu zaufanej drogi, jaką trojan dostawał się do komputerów użytkowników. Aktualizacje ze złośliwym kodem były podpisane prawidłowym certyfikatem cyfrowym. Dopiero 29 stycznia specjaliści zauważyli problem. Analizując wcześniejsze aktualizacje, ustalili, że infekowanie rozpoczęło się w czerwcu 2018 roku, a zakończyło w listopadzie.

Program ASUS Live Update umożliwiający automatyczne aktualizacje (graf. ASUS)

Zagrożonych komputerów, zdaniem specjalistów z firm zajmujących się zabezpieczeniami, może być około miliona. Skutecznie zainfekowanych z pewnością jest jednak mniej. Ale to i tak olbrzymia skala, bo tajwański producent stosuje program Live Update nie tylko w laptopach, ale też dla płyt głównych, a ich ASUS, jako jeden z liderów rynku, produkuje i sprzedaje bardzo wiele. Programy antywirusowe niestety nie wychwyciły na bieżąco zagrożenia, co spowodowało jego dość szerokie rozpowszechnienie. Kiedy tylko Kaspersky wykrył ShadowHammera, firma antywirusowa sprawdziła komputery swoich klientów, posiadaczy maszyn ASUS-a. Rosyjskie przedsiębiorstwo zarejestrowało 57000 infekcji. Symantec określił liczbę zarażonych urządzeń ze swoim oprogramowaniem AV na 13000.

Co ShadowHammer robił na zainfekowanych komputerach? Na szczęście niewiele. Bardzo rzadko łączył się z internetem (ale m.in. dlatego długo pozostawał niewykryty). Rzeczywiste działania prowadził wyłącznie na urządzeniach o określonym adresie fizycznym karty sieciowej (MAC). Na tę chwilę nie wiadomo, dlaczego tak zaplanowano atak oraz co łączy wybrane komputery.

Procentowy udział ataku za pomocą trojana według krajów – Polska na 7 miejscu (graf. Kaspersky)

Jak zabezpieczyć się przed tego rodzaju infekcją? Niestety nie ma jednej, dobrej rady. Antywirusy w tym przypadku okazały się być bezużyteczne prewencyjnie. Pozwolą jednak sprawdzić, czy jesteśmy lub byliśmy ofiarą ataku. Aktualnie większość dobrych programów antywirusowych wykryje i usunie ShadowHammera. Ponieważ problem został wykryty dopiero pod koniec stycznia, warto przejrzeć logi programu antywirusowego od końcówki stycznia i poszukać ruchu do asushotfix.com. Można też skorzystać ze specjalnego narzędzia Kaspersky’ego, wprowadzając MAC swojej karty sieciowej. | CHIP