安全防護不到位,華碩心裡兩行淚!最近科技巨頭華碩也被黑客盯上了,黑客通過自動軟體更新工具將惡意軟體推向了數十萬名客戶!
近日,網絡安全公司Kaspersky實驗室的研究人員表示,全球最大的計算機制造商之一華碩在去年遭到了入侵,攻擊者劫持了華碩的實時軟體更新伺服器,在無人知曉的情況下在數千名客戶的計算機上安裝了惡意後門。
Kaspersky實驗室表示,這些惡意文件經過了華碩數字證書的合法簽名,所以看起來與該公司的軟體更新並沒有差別。
超50萬華碩用戶中招,軟體鏈安全威脅日益加劇
華碩是一家總部位於中國台灣地區價值數十億美元的計算機硬體公司,生產台式電腦、筆電電腦、移動電話、智能家居系統以及其他電子設備。根據莫斯科安全公司的研究,去年在被發現之前,華碩至少已經向客戶推送後門長達五個月的時間。
據研究人員估計,已有近50萬台Windows計算機通過華碩更新服務接收了惡意後門,儘管攻擊者似乎隻攻擊了其中大約600台計算機。惡意軟體通過唯一的MAC地址搜索目標系統,一旦發現目標系統,惡意軟體就會聯繫攻擊者控制的伺服器,然後在這些目標計算機上安裝其他惡意軟體。
Kaspersky實驗室表示,他們在今年1月份發現了這一攻擊,因為他們在掃描工具中添加了一種新的供應鏈檢測技術,可以捕捉隱藏在合法代碼中的異常代碼片段,或者捕捉在電腦上劫持正常操作的代碼。他們計劃在下個月新加坡舉行的安全分析師峰會上,發布一份關於華碩這次攻擊完整的技術文件和演示文稿,並將這種攻擊命名為“ShadowHammer”。
“我們發現來自華碩實時更新服務的更新補丁已被植入木馬或惡意更新,這些惡意軟體上有華碩的簽名。”
這個問題凸顯了供應鏈攻擊的威脅日益加劇,惡意軟體或組件的安裝有可能發生在系統製造或組裝的過程中,也有可能在這之後通過用戶信賴的供應商渠道進行安裝。
近年來,在發現了一系列供應鏈攻擊後,美國於去年成立了一個供應鏈工作組來審查這個問題。儘管有關供應鏈攻擊的關注大多集中在製造過程中將惡意軟體添加到硬體或軟體,但對於攻擊者來說,在計算機出售後,通過供應商軟體更新安裝惡意軟體的方式更為理想,因為用戶信任供應商的更新,特別是如果這些惡意軟體上帶有供應商的合法數字證書簽名。
Kaspersky實驗室全球研究和分析團隊亞太區總監Vitaly Kamluk表示:“此次攻擊表明,帶有知名供應商名稱和數字簽名驗證的信任模式也無法保證你不會受到惡意軟體的攻擊。”他指出,研究人員在1月份聯繫了華碩,但華碩否認其伺服器遭到入侵,也否認了惡意軟體來自其網絡。但Kamluk表示,Kaspersky收集到的惡意軟體樣本的下載路徑直指華碩的伺服器。
華碩仍未回應安全風波
上周四,外媒Motherboard通過三封郵件向華碩發送了由Kaspersky提供的索賠清單,但沒有收到華碩的回復。
然而,上周五美國安全公司賽門鐵克證實了Kaspersky的調查結果(Motherboard詢問該公司是否有客戶也收到了惡意下載時,得到了肯定的答覆)。賽門鐵克仍在調查此事,但其在電話中稱,至少有13,000台賽門鐵克的客戶計算機去年感染了華碩的惡意軟體更新。賽門鐵克安全技術和響應小組開發主管Liam O'Murchu說:“我們發現來自華碩實時更新服務的更新補丁已被植入木馬或惡意更新,這些惡意軟體上有華碩的簽名。”
這不是第一次攻擊者利用客戶信賴的軟體更新來感染系統。第一個通過這種伎倆攻擊用戶的惡意軟體是由Stuxnet背後的一些攻擊者開發的臭名昭著的Flame(超級火焰)病毒,它通過劫持微軟的Windows更新來感染計算機。2012年,有人發現Flame病毒帶有未經授權的微軟證書簽名,攻擊者通過欺騙微軟系統得到了這些簽名。
然而,Flame病毒並沒能真正劫持微軟的更新伺服器來傳播病毒。相反,他們能夠重定向目標客戶計算機上的軟體更新工具,讓這些計算機連接到攻擊者控制的惡意伺服器,而不是合法的微軟更新伺服器上。
2017年還發現了另外兩起劫持用戶信賴的軟體更新的攻擊。其中一個入侵了計算機安全清理工具CCleaner,通過軟體更新向客戶散播惡意軟體,超過200萬用戶在發現之前收到了惡意更新。另一起事件是臭名遠播的notPetya攻擊,該攻擊始於烏克蘭,通過一個會計軟體的惡意更新感染計算機。
Kaspersky全球研究和分析團隊的總監Costin Raiu表示,此次華碩的攻擊與其他攻擊不同。他說:“我認為此次攻擊在複雜性和隱秘性方面的水準都很高,因此比之前的攻擊更勝一籌。通過過濾MAC地址進行精確定位是此次攻擊長期未被發現的原因之一。如果你不是攻擊目標,那麽就無法發現該惡意軟體。”
然而,即便該惡意軟體在非目標系統上會保持隱匿,但仍然會在每個受到感染的華碩系統中植入攻擊者的後門。
黑客在下一盤大棋?攻擊過程詳解
互聯網安全中心高級副總裁Tony Sager曾在美國國家安全局從事多年的防禦性漏洞分析工作,他表示攻擊者選擇目標計算機的這種方法很奇怪。他在電話中對Motherboard說:“供應鏈攻擊屬於嚴重級別的攻擊,表明有人對此非常謹慎並做了周密的規劃。但是,通過一些手段在數萬台計算機中選中幾十個目標進行攻擊,那就意味著他們在籌劃很大的陰謀。”
Kaspersky的研究人員於1月29日首次在客戶機器上檢測到了該惡意軟體。隨後他們通過簽名在其他客戶的系統上查找惡意更新文件,最終他們發現超過57,000名Kaspersky客戶感染了該病毒。然而,這只是Kaspersky的客戶。Kamluk說,實際的數字可能高達數十萬。
大多數受感染的Kaspersky客戶的計算機都位於俄羅斯(約佔18%),其次是德國和法國,只有5%受感染的Kaspersky客戶在美國。賽門鐵克的O'Murchu表示,其公司受感染的客戶計算機約有13,000台,其中15%位於美國境內。
Kamluk表示,Kaspersky於1月31日通知了華碩這個問題,並於2月14日親自與華碩會面。但他表示,此後華碩沒有任何反應,也未向華碩的客戶通報該問題。
攻擊者使用了兩種不同的華碩數字證書來簽署他們的惡意軟體。第一個在2018年年中過期了,隨後攻擊者切換到了第二個合法的華碩證書,並在此後一直利用該證書簽署他們的惡意軟體。
Kamluk表示,在Kaspersky通知了華碩該問題之後,他們仍然在使用其中一個受到劫持的證書簽署自家的文件,直到一個月後才停止。然而,Kamluk表示,華碩仍然沒有取締兩個遭到劫持的證書,這意味著攻擊者或其他有權訪問的人仍然可以利用這個未過期的證書來簽署惡意文件,而且所有計算機都會將這些文件視為合法的華碩文件。
華碩“三而竭”:安全問題豈可休?
這不是第一次華碩被指控損害客戶的安全性。
2016年,有人發現華碩的路由器、雲備份存儲和韌體更新工具中存在的多個漏洞,攻擊者可以利用這些漏洞訪問客戶的文件和路由器登錄證書等等,但華碩針對這些問題提交了虛假陳情並采取了不公正的安全措施,美國聯邦貿易委員會為此對華碩提出了指控。美國聯邦貿易委員聲稱,在華碩修複這些漏洞並通知用戶之前,這些漏洞已經持續了至少一年的時間,將近百萬美國路由器所有者置於被攻擊的風險之中。為了解決此案,華碩同意建立並維護一項全面的安全計劃,並且該計劃將接受20年的獨立審查。
華碩去年生產的筆電電腦和其他設備上安裝了包含惡意軟體的華碩實時更新工具。一旦用戶激活該更新工具,它就會定期連接華碩的更新伺服器,查看是否有韌體或其他軟體的更新。
“他們想要攻擊非常具體的目標,他們提前就已經知道了這些目標的網卡MAC地址,這非常有意思。”
通過華碩的更新工具推送到客戶電腦的惡意文件名稱為setup.exe,據稱是對更新工具本身的更新。實際上,這是一個從2015年起就開始使用的更新程序,在使用合法的華碩證書簽名前就被攻擊者注入了惡意代碼,距今已有三年的歷史了。根據Kaspersky實驗室所說,攻擊者在2018年6月-11月期間將該惡意文件推向了用戶。Kamluk表示,攻擊者使用帶有當前證書的舊二進製文件,這表明攻擊者訪問了華碩簽署文件的伺服器,但沒有訪問編譯新文件的構建伺服器。
Kamluk指出,由於攻擊者每次都使用了同一個華碩的二進製文件,因此表明他們無法訪問華碩的整體基礎設施,只能夠訪問簽名伺服器。在惡意軟體散播期間,合法的華碩軟體更新也會被推送到用戶,但這些合法的更新是使用的是不同的證書進行簽名,該證書使用了增強模式的驗證保護,Kamluk說,這增加了惡意軟體欺騙用戶的難度。
Kaspersky的研究人員從客戶電腦上收集了200多個惡意文件的樣本,他們發現這種攻擊分多個階段且有針對性。
這些惡意樣本中嵌入了硬編碼的MD5哈希值,結果證明是網卡的唯一MAC地址。MD5是一種算法,可以通過運行算法創建數據的加密表示。每個網卡都有一個製造商分配的唯一ID或地址,而攻擊者為每個想要查找的MAC地址創建了哈希值,然後將這些哈希硬編碼到惡意文件,如此一來就很難看清楚惡意軟體的行為。該惡意套裝軟體含了600個唯一的MAC地址,儘管他們的攻擊目標數量可能大於這個數字。因為Kaspersky只能看到從客戶的機器上發現的特定惡意軟體樣本中硬編碼的MAC地址。
Kaspersky的研究人員能夠破解他們發現的大多數哈希值,找出確切的MAC地址,這可以幫助他們找到安裝在受害者電腦上的網卡,但並不能找到受害者本人。一旦惡意軟體感染某台計算機,它就會從該計算機的網卡中收集MAC地址,對其進行哈希處理,並將該哈希值與惡意軟體中硬編碼的哈希值進行比較。如果發現MAC地址與600個目標地址中的任何一個匹配,該惡意軟體就會連接到asushotfix.com,該網站偽裝成了合法的華碩網站,然後將第二階段的後門下載到該計算機上。由於只有少量電腦與攻擊者管控的伺服器進行了連接,因此惡意軟體不易被發現。
Kamluk說:“他們並沒有盡可能地針對更多用戶。他們想要攻擊非常具體的目標,他們提前就已經知道了這些目標的網卡MAC地址,這非常有意思。”
賽門鐵克的O'Murchu表示,他不清楚是否還有其他客戶的MAC地址出現在攻擊目標列表上,並接收到了第二階段的後門。
提供第二階段後門的控制伺服器是於去年5月3日注冊的,但於去年11月在Kaspersky發現該攻擊之前就關閉了。因此,研究人員未能獲取推送給受害者的第二階段後門的代碼副本,也無法識別都有哪些受害者的計算機連接了該伺服器。Kaspersky認為,去年10月29日,有一名俄羅斯的客戶連接了該控制伺服器並感染了第二階段的後門,但Raiu表示他們不知道該計算機所有者的身份,也無法聯繫這個人並展開進一步的調查。
無奈的華碩用戶
有關惡意的華碩更新推向客戶的早期的跡象是:2018年6月,一些人在Reddit論壇上發布了一條關於可疑的華碩警告的評論,他們說他們的計算機上彈出了一條“關鍵”的更新,警告上說:“華碩強烈建議你即刻安裝這些更新。”
一位名叫GreyWolfx的用戶在一篇名為“ASUSFourceUpdater.exe想做一些神秘的更新,卻沒有說具體內容”的帖子中寫道,“今天有一個.exe彈出了一個我從未見過的更新窗口……我有點好奇,有人知道這個更新是幹什麽的嗎?”
當他和其他用戶點開了華碩的更新工具,想了解有關該更新的信息時,卻發現更新工具顯示近期華碩沒有發布更新。但由於該文件帶有華碩的數字證書簽名,而且VirusTotal網站的文件掃描表明它不是惡意文件,因此許多人以為該更新是合法的,並將其下載到了他們的計算機上。VirusTotal是一個匯聚了數十個防病毒程序的網站,用戶可以將可疑文件上傳到該網站,檢查是否有工具檢測發現該文件是惡意文件。
一位用戶寫道:“我將這個可執行文件上傳到了VirusTotal,結果證明它是一個有效簽名的文件,沒有任何問題。警告中‘強製’一詞的拚寫方式和空空的詳細內容確實很奇怪,但我發現系統上安裝的其他華碩軟體也存在奇怪的語法錯誤,所以這也算不上確鑿的證據。”
Kamluk和Raiu說,這可能不是ShadowHammer攻擊者的第一次襲擊。他們表示,他們發現此次華碩的攻擊與以前Kaspersky發現的ShadowPad團隊的攻擊有相似之處。ShadowPad針對的是一家韓國公司,該公司主要開發管理伺服器的企業軟體。該團夥還與CCleaner攻擊有關,在CCleaner攻擊中,雖然有數以百萬計的電腦感染了惡意的CCleaner軟體更新,但只有一部分被植入了第二階段的後門,與此次的華碩受害者非常類似。值得注意的是,華碩系統本身就在CCleaner攻擊列表之中。
Kaspersky的研究人員認為,ShadowHammer攻擊者是ShadowPad和CCleaner攻擊的幕後黑手,通過CCleaner攻擊獲得了對華碩伺服器的訪問權限。
Raiu說:“華碩是CCleaner攻擊的主要目標之一。有一種可能性是:最初他們入侵了華碩的網絡,然後設法利用訪問權限向華碩發起攻擊。”
本文由CSDN翻譯自:
https://motherboard.vice.com/en_us/article/pan9wn/hackers-hijacked-asus-software-updates-to-install-backdoors-on-thousands-of-computers。
譯者彎月,責編郭芮,如需轉載,請注明來源出處。
熱 文推 薦
香港九龍灣馬來街興發大廈15樓D室