Asus heeft vandaag (26 maart) eindelijk een verklaring uitgegeven over het hacken van zijn eigen firmware-updateservers, meer dan 24 uur nadat Vice Motherboard en Kaspersky Lab het probleem publiekelijk hadden bekendgemaakt en bijna twee maanden nadat Kaspersky Lab dit aan Asus had gemeld en had laten weten dat zijn servers was gehackt.
Fotocredit: Roman Arbuzov / Shutterstock
“Een klein aantal apparaten werd geïnfecteerd met kwaadaardige code via een geavanceerde aanval op onze Live Update-servers, gericht op een zeer kleine en specifieke groep gebruikers”, aldus het bedrijf in een verklaring. “De klantenservice van Asus heeft contact opgenomen met de getroffen gebruikers en ondersteuning geboden om ervoor te zorgen dat de beveiligingsrisico’s worden opgelost.”
Minstens 70.000 Asus-apparaten zijn geïnfecteerd met de corrupte Asus-firmware, zoals gedocumenteerd door Kaspersky Lab en Symantec. De cijfers zijn afkomstig van pc’s waarop de eigen antivirussoftware van het bedrijf draait. Onderzoekers van Kaspersky Lab schatten dat wereldwijd één miljoen Asus-computers zijn geïnfecteerd, wat waarschijnlijk geen klein aantal is.
MEER: Beste Windows-antivirussoftware
Asus zei in zijn persbericht dat het stappen had ondernomen om de veiligheid van het updateproces te verbeteren, maar vermeldde niet hoe de aanvallers – vermoedelijk een Chineessprekende hackploeg met banden met de Chinese overheid – erin slaagden in te breken op de servers. van Asus en stelen digitale handtekeningcertificaten van Asus die de malware als legitiem hebben geverifieerd.
“Asus heeft ook een update geïmplementeerd in de nieuwste versie (versie 3.6.8) van de Live Update-software, verschillende beveiligingscontrolemechanismen geïntroduceerd om kwaadwillige manipulatie in de vorm van software-updates of andere middelen te voorkomen, en een verbeterde definitieve versie geïmplementeerd.” “Tegelijkertijd hebben we onze server-to-end-user softwarearchitectuur bijgewerkt en versterkt om soortgelijke aanvallen in de toekomst te voorkomen.”
Tussen juni en november 2018 werd de malware rechtstreeks op Asus-computers wereldwijd afgeleverd door Asus’ eigen firmware-updatediensten. De malware creëert een ‘achterdeur’ waardoor meer malware kan worden gedownload en geïnstalleerd zonder toestemming van de gebruiker.
De malware bevindt zich echter op bijna alle systemen en wordt alleen geactiveerd op specifieke doel-pc’s waarvan de MAC-adressen (unieke identificatiegegevens voor elke netwerkpoort) overeenkomen met die in hardgecodeerde lijsten die rechtstreeks in de malware zijn ingebouwd.
Kaspersky-onderzoekers identificeerden ongeveer 600 MAC-adressen in de hitlijsten, wat inderdaad een ‘kleine groep gebruikers’ is. De details zijn echter nog steeds onduidelijk, omdat we niet weten wie zich precies op de malware richt of hoe de aanvallers in de updateservers van Asus zijn gekomen.
Asus heeft ook een “Security Diagnostic Tool for Scanning Affected Systems” uitgebracht, die kan worden gedownload op https://dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip.
Dit vormt een aanvulling op een Kaspersky Lab-tool die scant op malware en een Kaspersky Lab-webpagina waar u kunt controleren of de MAC-adressen van uw Asus PC in de hitlijst van de malware voorkomen.
Kaspersky-onderzoekers zeiden dat ze Asus op 31 januari op de hoogte hadden gesteld van het probleem, maar vertelden Kim Zetter van Motherboard dat Asus aanvankelijk ontkende dat zijn servers waren gehackt.
