Aanvallers hebben de updatetool van de Taiwanese computerfabrikant ASUS, die standaard op de meeste ASUS-systemen geïnstalleerd staat, gebruikt om systemen met een backdoor te infecteren. Via ASUS Live Update kunnen gebruikers de firmware, drivers en software van hun computer eenvoudig bijwerken.

Van juni tot en met november vorig jaar zijn aanvallers erin geslaagd om via Live Update kwaadaardige updates te verspreiden die een backdoor bleken te bevatten. De besmette updates waren van een geldig certificaat voorzien en werden gehost op de updateservers van ASUS. Onderzoekers van anti-virusbedrijf Kaspersky Lab vermoeden dat mogelijk meer dan een miljoen gebruikers wereldwijd zijn getroffen.

De besmette updates van ASUS Live Update werden door 57.000 gebruikers van Kaspersky Lab geïnstalleerd, zo laat de virusbestrijder weten. De meeste infecties werden in Rusland en Duitsland geteld, gevolgd door Frankrijk en Italië. Anti-virusbedrijf Symantec verklaart tegenover Vice Magazine dat tenminste 13.000 klanten via een kwaadaardige ASUS-update besmet zijn geraakt.

De aanval was gericht tegen een kleine groep gebruikers die werden geïdentificeerd aan de hand van het MAC-adres van hun netwerkkaart. Hiervoor maakten de aanvallers gebruik van een hardcoded lijst van 600 MAC-adressen. Zodra de backdoor één van deze MAC-adressen tegenkwam werd er aanvullende malware gedownload. Kaspersky Lab heeft een tool ontwikkeld waarmee gebruikers kunnen controleren of hun computer één van de 600 systemen is waar de aanvallers het op hadden voorzien.

ASUS is op 31 januari over de aanval ingelicht. Onderzoeker Vitaly Kamluk vertelt aan Vice Magazine dat een medewerker van het anti-virusbedrijf op 14 februari bij ASUS is langs geweest, maar dat de computerfabrikant nauwelijks reageert en ASUS-klanten nog steeds niet zijn ingelicht. De aanvallers maakten gebruik van twee ASUS-certificaten om hun malware te signeren. Volgens Kamluk bleef de computerfabrikant één van deze certificaten gebruiken voor het signeren van de eigen software voor tenminste een maand nadat het was ingelicht. Inmiddels is het bedrijf hiermee gestopt, maar de twee certificaten zijn nog altijd niet ingetrokken. Volgende maand zal Kaspersky Lab meer details over de aanval geven.

Image