Asus este o companie IT cu sediul central in Taiwan. O companie extrem de inovatoare, insa cu oarece probleme atunci cand vine vorba despre securitate

Karpersky Labs a anuntat luni 25 martie 2019 ca a fost descoperita o situatie hilara. Au fost afectati peste un milion de utilizatori de device-uri ASUS ce folosesc sistemul de operare Windows.

Astfel creatorul malware-ului a reusit sa patrunda pe serverele de actualizare soft ale ASUS. El a furat cheile de semnatura a programelor. Apoi a semnat o actualizare aparent pe care apoi a impins-o spre utilizatori prin programul dedicat actualizarilor ASUS.

Fiecare actualizare trebuie sa fie semnata cu o cheie recunoscuta atat de Microsoft, cat si de programele antivirus. In caz negativ cand doresti sa instalezi ceva Windows iti va bloca accesul pentru a te apara de atac),

Atacatorul a reusit sa creeze un atac informatic ce a afectat aproximativ jumatate din utilizatorii de terminale ASUS ce ruleaza Windows. Totul folosind un soft ce aparent este perfect legitim.

Karpersky Lab a introdus recent in analiza sa un algoritm ce cauta inclusiv in fisierele semnate cu certificate legitime dupa orice anomalie, fie ea si cat de mica.

Astfel s-a descoperit ca aceste update-uri desi par legitime nu sunt.

Ce contine acest malware?

Apoi uitandu-se in cod in incercarea ce se face de fiecare data de a se descoperi ce face un malware ( reverse engineering ) a descoperit niste has-uri MD5. MD5 este un sistem de criptare simplist ce transforma cuvantul test in 098F6BCD4621D373CADE4E832627B4F6 . Prin urmare mult mai simplu decat SHA256 care pentru acelasi cuvant test transforma in 9F86D081884C7D659A2FEAA0C55AD015A3BF4F1B2B0B822CD15D6C15B0F00A08

In mod evident orice hash MD5 poate fi decriptat fara prea mare efort. Misterul s-a adancit brusc atunci cand decriptandu-se aceste hash-uri s-a descoperit ca este vorba despre 600 de adrese MAC.

Acum vine intrebarea ta: Ce e aia o adresa MAC?

Fiecare componenta de retea, fie ca este vorba despre placa de retea a calculatorului sau laptopului, adaptorul WiFi, sau chiar modemul tau de pe telefonul mobil, ori adaptoprul bluetooth, are cate o adresa unica, la fel cum fiecare om are o amprenta unica. Fiecare producator are un grup de 6 caractere cu care incepe aceasta adresa MAC. Unul dintre aceste grupuri pentru ASUS este de exemplu 00:04:0F. O adresa MAC pentru ASUS poate fi 00:04:0F:AA:66:DD (adresa prezentata doar ca exemplu)

Atacatorul nu a avut nicio clipa intentia sa atace toate calculatoarele ASUS ce ruleaza Windows. Ci doar cele aproximativ 600 de calculatoare. Pentru acest lucru programul creat verifica mai intai daca statia de lucru are adresa MAC din codul sursa. Daca nu il are se dezactiveaza. Daca in schimb il are, atunci este descarcat si restul virusului de la o adresa cu un nume similar ASUS asushotfix.com.Desi seamana ca nume, in realitate nu alta legatura cu ASUS decat virusul.

Sapand spre acest domeniu nu gasim foarte multe. Doar faptul ca a fost inregistrat pe data de 3 mai 2018, fiind platit doar pentru un an de zile. Inregistrarea s-a facut prin www.namesilo.com NameSilo este o companie din Phoenix, Arizona USA care se ocupa cu vanzarea de domenii. Cel mai probabil cei care au facut virusul au platit 7 dolari pe respectivul domeniu.

Insa daca ne uitam in istoria atacurilor vom gasi undeva in 2010 operatiunea Stuxnet. Pe atunci virusul a fost descoperit de Sergey Ulasem. Virusul se imprastia folosind sistemul de operare Microsoft Windows pentru a ataca la final un controler industrial Siemens. Insa nu toate controlerele au fost afectate, ci doar cele din Iran… folosite la imbogatirea uraniului, blocand astfel Iranul sa mai produca uraniu imbogatit. Implicarea NSA, CIA si a intelligence-ului israelian nu a fost recunoscuta desi au aparut anumite informatii. La un moment dat a fost facut si un film cu acest nume.

Revenind la MAC-urile ASUS.

Doua etape ale unui malware denumit ShadowHammer

Pana acum am scris faptul ca a existat un malware tintit doar spre aproximativ statii de lucru construite de ASUS prin infectarea primara a aproximativ un milion de statii, insa doar cele 600 de statii au descarcat si partea a doua a virusului de pe  adresa web fantoma ce in acest moment este inchisa.

Inchiderea adresei web fantoma a fost efectuata insa pe 29 octombrie 2018, cu mult inainte de descoperirea virusului.

Prin urmare atacul a fost efectuat in doua etape: prima etapa calculatoarele au fost infectate cu un program care face un lucru extrem de simplu: scaneaza adresele MAC ale calculatorlui.

A doua etapa este compararea adreselor MAC cu lista continuta de program, ulterior daca aceasta corespunde descarca un alt program care…. aici vine problema majora si anume nu se prea cunoaste ce face exact a doua etapa. Si nu este o gluma, ci purul adevar.

Cele aproximatv 600 de calculatoare tinta este posibil sa fi fost infectate in intregime de un backdoor despre care nu se stie prea multe. Asta ar putea sa reiasa din faptul ca atacatorul a inchis adresa web din propria initiativa dupa ce a finalizat atacul.

Ceea ce se stie in acest moment este ca ASUS a fost notificat, ca urmeaza sa stearga si al doilea certificat compromis, ca stie care sunt cele aproximativ 600 de adrese MAC ale laptopurilor afectate.

 

Concluzii finale

Atacuri cu actualizari de programe alterate si semnate legitim au ai fost, cel mai cunoscut fiind cel al CCleaner. Insa nu avea  tinta clara ca acum.

Atac cu o tinta clara a mai fost in trecut, fiind, dar nelimitandu-se la Stuxnet.

Cine sunt posesorii acelor 600 de laptopuri afectate este alta poveste ce se afla in gradina celor de la ASUS. 

Karpersky a numit aceasta actiune drept operatiunea ShadowHammer

Este extrem de greu de facut o distribuire a laptopurilor afectate deoarece chiar cei de la Karpersky recunosc faptul ca harta facuta de ei este in stransa legatura cu cei care folosesc antivirusul de la ei.

Probabil ca in perioada urmatoare se vor afla mai multe lucruri, inclusiv cine a facut atacul, insa este clar ca acest atac a avut in spate oameni extrem de bine pregatiti si un buget insemnat.

Insa singura intrebare care ramane precum un ecou interminabil este CE FACE DE FAPT ACEST VIRUS.

Daca esti posesorul unui laptop ASUS poti descarca de la Karpersky sau de la alti furnizori de programe antivirus utilitare care verifica daca ai sau nu laptopul infectat. Insa deocamdata nu ai cum sa afli ce s-a intamplat si ce se intampla cu acest virus.

Vei gasi mereu diferite informatii noi aici, pe pagina noastra Facebook sau Twitter