華碩電腦升級伺服器遭駭長達5月,恐有50萬台PC被安裝後門程式,駭客藉由Live Update工具偷偷散布後門,恐影響上百萬用戶

華碩電腦的軟體更新主機遭入侵,駭客藉由Live Update工具偷偷散布後門,恐影響上百萬用戶

臺灣筆電大廠華碩的更新主機遭駭一事,昨晚經國外媒體Motherboard報導曝光,主要由資安業者卡巴斯基所發現,該公司接著也在同日揭露相關資訊,並將此複雜的供應鏈攻擊命名為「ShadowHammer」。在這起事件中,駭客透過偷偷入侵華碩軟體更新伺服器的方式,讓華碩幫助用戶電腦更新系統軟體時,卻也無意中安裝了包含惡意後門的更新程式。對於這起事件,至今天中午之前,華碩還沒有正式對用戶發出相關訊息與說明。

根據卡巴斯基的說明,這起針對華碩產品的攻擊行為之所以被發現,是因為他們在今年1月使用了新的供應鏈檢測技術,進而察覺這起涉及Asus Live Update工具的攻擊活動。同時,他們也公布了自身的統計數據,有超過5萬7千名卡巴斯基用戶,在某個時間點下載並安裝了後門版本的華碩Live Update。

此外,Motherboard還指出另一家資安業者賽門鐵克,也確認了卡巴斯基的發現,並表示去年至少有1萬3千名賽門鐵克用戶,感染了華碩的惡意軟體更新。

從影響範圍來看,由於華碩Live Update是大多數華碩PC與筆電上所預載的應用程式,將可更新BIOS、UEFI、驅動程式與應用程式等,加上華碩是全球第五大電腦製造商,用戶族群不小。根據卡巴斯基研究人員的說法,雖然無法依據他們的數據來計算受影響的用戶數,但估計全球超過一百萬用戶受影響。

此外,就他們的觀察,駭客攻擊的時間應是發生在2018年6月到11月間。關於長期未被發現的原因,卡巴斯基表示,由於更新程式使用的是合法的數位簽章ASUSTeK Computer Inc.,以及惡意更新程式是存放在華碩更新服務器liveupdate01s.asus.com與liveupdate01.asus.com之上,隱藏於軟體更新行為之中。

至於華碩方面的反應如何?根據卡巴斯基研究人員的說法,他們在1月27日確認此一攻擊活動,並在1月31日已經聯繫過華碩。對此,我們也向臺灣華碩方面求證,並請他們說明處理狀況與進度,以及用戶相關因應方式,根據他們早上的說明,目前已經在調查處理中,只是中午之前還沒有得到相關回覆,官方網站上目前似乎也還沒有揭露相關訊息。

由於華碩電腦用戶族群廣大,企業與個人消費者都有,後續應變將成為關注焦點,畢竟用戶們也擔心自身該如何因應?

無論如何,這起事件其實突顯了近年一再提及的供應鏈的資安問題,像是過去就有相關例子,有網路攻擊者利用微軟更新,將受駭用戶導向假冒的更新伺服器,以下載惡意軟體。而這次駭客則是直接攻破業者的更新伺服器,加上複雜的手法,使得這起事件更隱密且難以察覺。

華碩電腦升級伺服器遭駭長達5月,恐有50萬台PC被安裝後門程式

安全廠商卡巴斯基發現,華碩電腦的軟體更新伺服器遭惡意程式入侵,用來散佈後門程式,時間可能長達5個月,受害電腦可能高達50萬台。

這項消息由Motherboard於周一首先報導。卡巴斯基研究人員今年一月發現到這項命名為ShadowHammer 行動(Operation ShadowHammer)的供應鏈攻擊,它發生於2018年6到11月之間,利用ASUS Live Update Utility更新過程向外散佈。ASUS Live Update預安裝於多數Asus 電腦上,主要是用於更新電腦特定元件,包括BIOS、UEFI、驅動程式和應用程式等。

ShadowHammer攻擊背後的駭客將惡意程式更新器代管在華碩official liveupdate01s.asus[.]com及liveupdate01.asus[.]com的華碩伺服器上,由其推送後門程式到用戶電腦上。

研究人員根據蒐集到的資訊估計,有超過5.7萬名卡巴斯基用戶已下載了被注入後門程式的ASUS Live Update。實際受害人數則無法計算,推算全球可能有超過50萬用戶受影響,分佈地區以俄羅斯、法國及德國居前三大。

不過安全公司相信,這樁攻擊其實是以一小群人為目標的精準攻擊。攻擊者在後門程式中寫入一個MAC位址清單,以便辨識它真正的目標電腦。研究人員在200隻惡意程式中已清查600多個不重覆的MAC位址。卡巴斯基也提供了找到的MAC位址清單供使用者查詢。

ShadowHammer和2017年發生的ShadowPad頗為類似,後者作者Barium以散佈Winnti後門程式聞名,去年10月遭微軟起訴。但研究人員認為ShadowHammer比起ShadowPad及同年九月感染200多萬台電腦的CCleaner更高明、更複雜。而它之所以能潛伏5個月不為人知,部份原因可能是這個惡意程式更新器經由合法憑證簽章之故。

研究人員已在今年1月31 日通報華碩,支援後者的調查。

傳駭客入侵波及用戶 華碩:確保不再發生

華碩自動軟體更新工具的伺服器傳遭駭客入侵,全球受影響用戶可能超過百萬,華碩今天表示,已主動聯繫可能受影響用戶解決問題,並升級多重驗證機制,確保入侵不再發生。

MOTHERBOARD等科技媒體報導,俄羅斯資安業者卡巴斯基實驗室(Kaspersky Lab)先前表示,華碩去年進行軟體更新時,自動軟體更新工具的伺服器遭駭客入侵,並藉此向上千台用戶的電腦植入了惡意後門程式,而且這個惡意程式使用了華碩數位證書,偽裝成正常軟體更新。

卡巴斯基說,發現這類更新來自於Live UpdateASUS伺服器;被植入木馬或惡意程式,而且有華碩認證署名。卡巴斯基估計「真正受害規模遠大於此,全球受影響用戶可能超過100萬人。」

針對ASUS Live Update工具程式可能遭受特定APT(進階持續性攻擊)集團攻擊,華碩今天說明,APT通常由第三世界國家主導,針對全世界特定機構用戶進行攻擊,甚少針對一般消費用戶。

華碩指出,Live Update為華碩筆記型電腦搭載的自動更新軟體,部分機台搭載的版本遭駭客植入惡意程式碼後,上傳至檔案伺服器(download server),企圖對少數特定對象發動攻擊,華碩已主動聯繫此部分用戶提供產品檢測及軟體更新服務,並由客服專員協助客戶解決問題,並持續追蹤處理,確保產品使用無虞。

針對此次攻擊,華碩表示,已對Live Update軟體升級全新的多重驗證機制,對於軟體更新及傳遞路徑各種可能的漏洞,強化端對端的密鑰加密機制,同時更新伺服器端與用戶端的軟體架構,確保這樣的入侵事件不會再發生。

華碩強調,APT集團攻擊是針對特定機構圖謀特殊利益,甚少針對一般消費者,若消費者仍有疑慮,可使用華碩官網提供的檢測程式查驗,或聯繫華碩客服單位尋求協助。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

華碩更新伺服器驚傳遭駭,官方下午回應:鎖定特定機構用戶的攻擊

國外媒體Motherboard報導,以及資安業者卡巴斯基實驗室表示,華碩筆電的更新伺服器遭駭客入侵,駭客透過偽裝成正常軟體更新的方式,藉此散布惡意後門,透過供應鏈攻擊手法來入侵目標企業。今日下午華碩正式發表聲明回應。

對於這次的供應鏈攻擊事件,華碩指出,Asus Live Update工具程式可能遭受特定APT集團攻擊,並指出這類攻擊手法,主要針對特定機構用戶進行攻擊,較少是針對一般消費用戶。言下之意,這次事件並非是大規模攻擊,希望民眾能夠安心。但是實際遭安裝後門的更新程式用戶數極大,當中是否還有其他的攻擊行動未清查出,可能仍有待釐清。

根據目前華碩的解釋,Asus Live Update工具程式是華碩筆記型電腦搭載的自動更新軟體,有部份機臺搭載之版本遭駭客植入惡意程式碼後,上傳至檔案伺服器(download server),企圖對少數特定對象發動攻擊。

華碩已主動聯繫此部份用戶,提供產品檢測及軟體更新服務,並由客服專員協助客戶解決問題,並持續追蹤處理,確保產品使用無虞。

而針對此次攻擊,他們也強調,已對Live Update軟體升級了全新的多重驗證機制,對於軟體更新及傳遞路徑各種可能的漏洞,強化端對端的密鑰加密機制,同時更新伺服器端與用戶端的軟體架構,確保這樣的入侵事件不會再發生。

若消費者仍有疑慮,華碩也提供ASDT檢測程式,供民眾自行下載該程式以檢測自己是否受此事件影響,或聯繫華碩客服單位尋求協助。

另外,我們先前也詢問了華碩的處理進度與影響範圍方面的問題,華碩針對部分給出了回應。關於這起事件的處理進度上,根據卡巴斯基指出,他們是在1月31日通知華碩,並傳出雙方在2月14日也有會面,但卡巴斯基認為華碩沒有給予太多的回應。今日華碩的回應是,他們在事件發生當下,就已即時更新及置換有風險的相關程式,啟動內部調查,投入大量資源釐清相關疑慮及可能受影響的用戶範圍。

至於影響範圍的問題,根據卡巴斯基研究人員先前的說法,他們統計到的有超過5.7萬名卡巴斯基用戶,已下載了被注入後門程式的ASUS Live Update,並估計影響約100萬人,但卡巴斯基認為,背後的網絡犯罪分子其實只針對其中600個特定的MAC地址感興趣。而華碩的回應中,並未回應有多少用戶電腦,下載了具後門程式的ASUS Live Update,僅針對這次供應列攻擊事件,表示經他們的調查和第三方資安顧問的驗證,目前受影響的數量是數百臺,並強調大部份消費者用戶,原則上並不屬於APT集團的鎖定攻擊範圍。至於這次APT攻擊鎖定的對象或是類型,華碩並未揭露。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

中國360威脅情報中心分析ShadowHammer的600個攻擊目標MAC地址,超過4成使用華碩網卡

中國資安研究團隊360威脅情報中心也針對卡巴斯基公布的SahdowHammer(暗影之鎚)攻擊行動事件進行相關研究,該團隊在推特上公布,駭客集團鎖定攻擊的600個MAC Address的電腦使用者,都是使用華碩電腦,其中,有超過四成(44.97%)使用者的電腦,是採用華碩自家生產的網路設備;其次,有26.34%的使用者,是使用英特爾(Intel)製造的網路設備;第三多的則是,有16.95%的電腦使用者,是使用海華科技(AzureWave)生產的網卡;另外,從統計圖表還可以看到,這一群遭到駭客鎖定攻擊的華碩電腦使用者中,還有使用其他包括光寶科技(LiteOn)以及鴻海精密(Hon Hai Precision)所生產的網路設備。

由於MAC Address的前3碼是NIC manufacturers(網路介面控制器),360威脅情報中心在破解這600個MAC Address的同時,就可以知道這群被鎖定攻擊的華碩電腦使用者,是使用哪一家廠商製造的網路設備。

中國資安研究團隊360威脅情報中心揭露ShadowHammer(暗影之鎚)攻擊行動鎖定攻擊對象所使用的網卡廠牌,超過4成使用華碩自家生產的網路設備。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

華碩釋出ShadowHammer惡意程式偵測工具,遭微軟誤判為惡意程式

在3月26日國外媒體Motherboard揭露一起由資安公司卡巴斯基(Kaspersky)資安威脅實驗室發現的一起ShadowHammer攻擊事件(暗影之鎚),在去年6月~11月,臺灣電腦製造業者華碩電腦遭到駭客集團入侵該公司的軟體更新Live Upadte伺服器,該公司在聲明稿中指出,只有600臺電腦遭到鎖定攻擊,並且釋出消費者可以自行檢視是否遭到鎖定攻擊的ASDT檢視工具。只不過,國外資安研究人員GiuGiuseppe `N3mes1s`在推特上公布,華碩釋出的檢測工具,遭到微軟內建防護工具Windows Defender誤判為惡意程式。

在此同時,首先揭露這起攻擊事件的卡巴斯基也提供檢測網址,使用者如果懷疑自己的電腦是這起ShadowHammer暗影之鎚攻擊行動鎖定的對象,可以到下列網址:https://shadowhammer.kaspersky.com/ 輸入自己電腦的Mac Address檢查,卡巴斯基也強調,將不會儲存任何使用者輸入的資訊。

臺灣不具名資安研究專家指出,一般而言,所有的防毒公司都會把用來進行軟體發行簽章的數位憑證當做白名單的依據,但是,華碩遭到駭客入侵冒用的數位簽章並未註銷(revoke),也導致許多資安公司可能會誤判華碩釋出的偵測工具。據了解,許多資安防毒軟體業者,已經先無視華碩遭到冒用的數位簽章,這也變成華碩釋出的更新軟體不在「白名單」中。

這也符合卡巴斯基資安威脅研究實驗室總監 Costin Raiu在推特上的聲明,華碩並沒有註銷原本的數位簽章,他將原本的惡意程式上傳VirusTotal進行偵測,總共68個防毒軟體業者中,只有27個防毒業者可以偵測到ShadowHammer暗影之鎚的惡意程式,主要的原因在於,有許多防毒業者在偵測到簽章的數位憑證是真的時候,就會略過,不進行掃描了。目前,華碩電腦還不註銷遭到駭客冒用的數位憑證,這也成為一個很重要的風險警訊。

卡巴斯基資安威脅實驗室總監Costin Raiu在推特上表示,目前VirusTotal中的68個防毒軟體業者,只有27個防毒軟體公司,可以成功偵測到ShadowHammer暗影之鎚攻擊行動中的惡意程式。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏