Az Asus végül ma (március 26-án) közleményt adott ki saját firmware-frissítő szervereinek feltöréséről, több mint 24 órával azután, hogy a Vice Motherboard és a Kaspersky Lab nyilvánosan nyilvánosságra hozták a problémát, és majdnem két hónappal azután, hogy a Kaspersky Lab értesítette az Asust, hogy szervereit feltörték .
Hitel: Roman Arbuzov/Shutterstock
"Kis számú eszközt rosszindulatú kóddal ültettek be a Live Update szervereinkre irányuló kifinomult támadás révén, hogy egy nagyon kicsi és meghatározott felhasználói csoportot célozzanak meg" - áll a cég közleményében. "Az Asus ügyfélszolgálata megkereste az érintett felhasználókat, és segítséget nyújtott a biztonsági kockázatok megszüntetéséhez."
Legalább 70 000 Asus eszközt fertőzött meg a sérült Asus firmware, amint azt a Kaspersky Lab és a Symantec dokumentálta, amelyek a számokat a vállalatok saját víruskereső szoftverét futtató számítógépektől szerezték be. A Kaspersky Lab kutatói becslések szerint világszerte egymillió Asus számítógép fertőződhetett meg, ami vitathatatlanul nem kevés.
Az Asus sajtóközleményében elmondta, hogy lépéseket tett a frissítési folyamat biztonságának fokozására, de nem tett említést arról, hogy a támadóknak-akiket kínai nyelvű hacker-stábnak tartanak, és akik kötődnek a kínai kormányhoz-hogyan sikerült betörni az Asus szervereit, és ellopni az Asus digitális aláíró tanúsítványait, amelyek a kártékony programot jogosnak minősítették.
"Az Asus javítást is bevezetett a Live Update szoftver legújabb verziójába (3.6.8. Verzió), több biztonsági ellenőrzési mechanizmust vezetett be, hogy megakadályozza a rosszindulatú manipulációkat szoftverfrissítések vagy egyéb eszközök formájában, és továbbfejlesztett végső titkosítási mechanizmus "-áll a sajtóközleményben. "Ugyanakkor frissítettük és megerősítettük szerver-végfelhasználó szoftver architektúránkat, hogy megelőzzük a hasonló támadásokat a jövőben."
2021–2022 júniusa és novembere között a rosszindulatú programot világszerte közvetlenül az Asus számítógépére szállították az Asus saját firmware-frissítő szolgáltatásaiból. A rosszindulatú program létrehoz egy "hátsó ajtót", amely lehetővé teszi több kártevő letöltését és telepítését felhasználói engedély nélkül.
A rosszindulatú programok azonban szinte minden rendszeren szunnyadnak, és csak azokon a személyre szabott számítógépeken aktiválódnak, amelyek MAC -címei - az egyes hálózati portok egyedi azonosítói - megegyeznek a rosszindulatú programba épített, kódolt listákon szereplőkkel.
A Kaspersky kutatói körülbelül 600 MAC -címet azonosítottak a találati listákon, ami valóban "kis felhasználói csoport". A konkrétumok azonban továbbra sem tisztázottak, mivel nem tudjuk, hogy pontosan kit céloznak meg a rosszindulatú programok, és azt sem, hogyan jutottak el a támadók az Asus frissítőszervereire.
Az Asus kiadott egy "biztonsági diagnosztikai eszközt az érintett rendszerek keresésére", amely letölthető a https://dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip címről.
Ez kiegészíti a Kaspersky Lab eszközt, amely ellenőrzi a rosszindulatú programok jelenlétét, és egy Kaspersky Lab weboldalt, ahol ellenőrizheti, hogy az Asus PC hálózati MAC -címei szerepelnek -e a rosszindulatú programok találati listájában.
A Kaspersky kutatói szerint január 31 -én értesítették az Asus -t a problémáról, de Kim Zetternek, az alaplap elnökének elmondták, hogy az Asus kezdetben tagadta, hogy a szervereit feltörték volna.