Penyalahgunaan peretas ASUS cloud service untuk memasang backdoor pada PC pengguna

Mekanisme pembaharuan ASUS sekali lagi telah disalahgunakan untuk memasang malware yang PC belakang, penyelidik dari Eset dilaporkan awal minggu ini. Para penyelidik, yang terus menyiasat insiden tersebut, berkata mereka percaya serangan itu adalah hasil daripada serangan menengah di tengah-tengah yang mengeksploitasi hubungan HTTP yang tidak selamat antara pengguna akhir dan pelayan ASUS, bersama dengan menandatangani kod tidak lengkap untuk mengesahkan keaslian fail yang diterima sebelum ia dilaksanakan.

Seruan, sebagai malware diketahui, adalah kerja penggodam pengintipan Trend Micro menyeru BlackTech Group, yang menyasarkan agensi kerajaan dan organisasi swasta di Asia. Tahun lepas, kumpulan itu menggunakan sijil menandatangani kod sah yang dicuri dari pembuat router D-Link kepada cryptographically mengesahkan dirinya sebagai boleh dipercayai. Sebelum itu, Kumpulan BlackTech menggunakan e-mel spear-phishing dan router terdedah untuk berfungsi sebagai pelayan arahan dan kawalan untuk perisian hasadnya.

Akhir bulan lalu, para penyelidik Eset mendapati kumpulan BlackTech menggunakan kaedah baru dan luar biasa untuk menyelinap ke atas komputer sasaran. Pintu belakang tiba di dalam fail bernamaASUS Webstorage Upate.exetermasuk dalam kemas kini dari ASUS. Satu analisis menunjukkan jangkitan sedang dibuat dan dilaksanakan olehAsusWSPanel.exe, yang merupakan proses Windows yang sah, dan ditandatangani secara digital oleh, ASUS WebStorage. Seperti namanya, ASUS WebStorage adalah perkhidmatan awan yang menawarkan pembuat komputer untuk menyimpan fail. Eset menerbitkan penemuannya pada hari Selasa.

Penyalahgunaan sahAsusWSPanel.exemenaikkan kemungkinan pembuat komputer jatuh ke serangan rantaian bekalan lain yang merampas proses pembaruannya untuk memasang backdoors pada komputer pengguna akhir. Akhirnya, penyelidik Eset mengaitkan teori itu dengan tiga sebab:

    • Mekanisme kemas kini yang disyaki yang sama juga menyampaikan binari ASUS WebStorage yang sah
    • Tiada bukti bahawa pelayan ASUS WebStorage sedang digunakan sebagai pelayan kawalan atau dilayan binari yang berniat jahat, dan
    • Penyerang menggunakan fail malware yang berdiri sendiri dan bukan menggabungkan barang jahat mereka di dalam perisian sah ASUS

Ketika para penyelidik mempertimbangkan senario alternatif, mereka menyatakan bahawa perisian ASUS WebStorage adalah rentan terhadap serangan menengah, di mana penggodam mengawal sambungan menganggu data yang melaluinya. Para penyelidik membuat penentuan ini kerana kemas kini diminta dan dipindahkan menggunakan sambungan HTTP yang tidak disulitkan, bukannya sambungan HTTPS yang kebal terhadap eksploitasi tersebut. Para penyelidik terus memperhatikan bahawa perisian ASUS tidak mengesahkan kesahihannya sebelum melaksanakan. Itu telah membuka kemungkinan BlackTech Group telah memintas proses pembaharuan ASUS dan menggunakannya untuk menolak Plead dan bukannya fail ASUS yang sah.

Para penyelidik juga melihat bahawa kebanyakan organisasi yang menerima fail Plead dari ASUS WebStorage menggunakan router yang dibuat oleh pengeluar yang sama. Router, yang Eset enggan dikenali ketika masih menyiasat kes itu, mempunyai panel pentadbir yang boleh diakses oleh Internet. Itu telah membuka kemungkinan serangan Mitm yang disebabkan oleh tetapan sistem nama domain jahat yang dibuat kepada router atau sesuatu yang lebih kompleks, seperti mengganggu iptables.

Teori kerja Eset kemudian beralih dari kumpulan BlackTech yang melanggar rangkaian ASUS dan melakukan serangan rantaian bekalan kepada penyerang yang melakukan serangan MitM pada mekanisme pembaharuan yang tidak selamat ASUS. Sesungguhnya, seperti yang didokumenkan di bawah dalam tangkapan screenshot yang diambil semasa kemasukan perisian ASUS WebStorage yang berniat jahat, penyerang menggantikan URL ASUS yang sah dengan satu dari laman web kerajaan Taiwan yang dikompromi.

Dalam e-mel, Penyelidik Perisik Malware Eset, Anton Cherepanov berkata komunikasi yang ditangkap itu bukan bukti MitM.

"Mungkin penyerang mendapat akses ke pelayan ASUS WebStorage dan menolak XML dengan pautan yang berniat jahat hanya kepada sejumlah kecil komputer," tulisnya. Itulah sebabnya kami mengatakan ia masih mungkin, kami tidak boleh menolak teori ini. "

Tetapi atas sebab-sebab yang disenaraikan di atas, beliau percaya bahawa senario MitM adalah lebih berkemungkinan.

Secara keseluruhan, Eset telah mengira kira-kira 20 komputer menerima pembaruan ASUS yang berniat jahat, tetapi jumlah itu hanya termasuk pelanggan syarikat. "Bilangan sebenar mungkin lebih tinggi jika kita mempertimbangkan sasaran yang bukan pengguna kami," kata Anton Cherepanov, seorang penyelidik penyeludupan kanan di Eset, kepada Ars.

Sebaik sahaja fail itu dilaksanakan, ia memuat turun imej dari pelayan lain yang mengandungi fail yang boleh diekskripsikan yang tersembunyi di dalamnya. Setelah diundur, laku berniat jahat akan dijatuhkan ke dalam folder Windows Start Menu, di mana ia dimuatkan setiap kali pengguna log masuk.

Ia mengejutkan bahawa walaupun selepas serangan rantaian bekalan yang serius dianggarkan telah menjangkiti sebanyak 1 juta pengguna, syarikat itu masih menggunakan sambungan HTTP yang tidak disulitkan untuk menyampaikan kemas kini. Ars menghantar wakil media ASUS dua mesej yang mencari komen untuk jawatan ini. Setakat ini mereka masih belum bertindak balas. Dalam catatan blog yang dihantar melalui sambungan HTTP yang tidak disulitkan, ASUS melaporkan "insiden keselamatan WebStorage" yang berbunyi:

ASUS Cloud pertama kali mengetahui tentang insiden pada akhir April 2019, apabila kami dihubungi oleh pelanggan dengan kebimbangan keselamatan. Apabila mengetahui insiden itu, ASUS Cloud mengambil tindakan segera untuk mengurangkan serangan itu dengan mematikan pelayan kemas kini ASUS WebStorage dan menghentikan pengeluaran semua pemberitahuan kemas kini ASUS WebStorage, dengan itu menghentikan serangan itu dengan berkesan.

Sebagai tindak balas terhadap serangan ini, ASUS Cloud telah mengubah seni bina tuan rumah pelayan kemas kini dan telah melaksanakan langkah-langkah keselamatan yang bertujuan untuk memperkuat perlindungan data. Ini akan menghalang serangan yang serupa pada masa akan datang. Walau bagaimanapun, ASUS Cloud sangat mengesyorkan bahawa pengguna perkhidmatan ASUS WebStorage segera menjalankan imbasan virus lengkap untuk memastikan integriti data peribadi anda.

Jawatan itu tidak mengatakan apa langkah keselamatan itu. Ia juga tidak menyebutkan penemuan Eset bahawa perkhidmatan tersebut telah disalahgunakan untuk memasang perisian hasad. Sehingga pakar keselamatan bebas berkata tapak selamat untuk digunakan, orang akan melakukannya dengan baik untuk mengelakkannya.

Tonton video itu: Cara Buka Bobol Android, Password, Pin dan Kunci Pola Android dengan Sangat Mudah (Disember 2019).