Asus, insidia backdoor nei live update

Kaspersky segnala che ASUS Live Update Utility sarebbe stato preso di mira e trasformato in fucina di backdoor su quasi un milione di computer Asus.

Asus, insidia backdoor nei live update

Sono pesanti le accuse di Kaspersky Lab contro Asus: il gruppo si sarebbe involontariamente reso veicolo di malware in tutto il mondo tramite i propri server di aggiornamento dei firmware. Il canale privilegiato per la distribuzione di aggiornamenti di sicurezza, insomma, sarebbe diventato canale privilegiato per la distribuzione di malware in grado di creare backdoor sui pc vittima dell’attacco. Tutto ciò tra giugno e novembre 2018, quando l’operazione “ShadowHammer” è stata svelata.

Il problema sarebbe insorto da un server responsabile degli update Asus a BIOS, UEFI e altri software: una volta colpito da malintenzionati esterni all’azienda, il servizio ASUS Live Update Utility avrebbe agito distribuendo software teoricamente legittimo (con tanto di certificazione Asus), ma in realtà maligno.

ASUS Live Update è un software per l’aggiornamento driver online. Permette di rilevare se ci sono nuove versioni dei programmi rilasciati sul sito Web ASUS e quindi aggiorna automaticamente BIOS, driver e applicazioni. Per i dispositivi con sistema operativo preinstallato, anche ASUS Live Update è presente di fabbrica.

Secondo i dati raccolti da Kaspersky, 57 mila utenti sarebbero stati identificati come vulnerabili dal software del gruppo, il che proietta a quasi 1 milione di computer il numero possibile delle vittime in essere. Quando Kaspersky ha contattato il gruppo taiwanese per notificare il problema, le accuse sono state inizialmente rispedite al mittente, ma ora il caso è deflagrato con la pubblicazione della documentazione correlata. Kaspersky spiega che le indagini sarebbero ancora in corso.

Il problema vero interessa in realtà soltanto poche utenze specifiche, poiché ad essere prese di mira sarebbero circa 600 postazioni identificate da specifico MAC address: non un attacco su larga scala, insomma, ma un canale di larga scala con il quale veicolare un attacco estremamente mirato e circostanziato. Nel caso in cui il tool avesse identificato una di queste postazioni, avrebbe dato il via all’installazione di malware ulteriore per portare avanti quelle che sono probabilmente le vere intenzioni dell’offensiva.

Non è chiaro quale fosse la vittima di questo specifico attacco: Kaspersky spiega di aver operato al fine di proteggere gli utenti e nel frattempo suggerisce l’aggiornamento dell’ASUS Live Update Utility. Chiunque può verificare se la propria postazione fosse presa di mira utilizzando la procedura semplificata riassunta sotto l’approfondimento “ShadowHammer” offerto dalla stessa Kaspersky.

Ancora una volta, insomma, ad emergere è il veicolo di un attacco ben più mirato: tracce di una cyberwar più profonda e mirata, qualcosa di diverso dal semplice sfruttamento di milioni di infezioni alla ricerca di account o dati personali.

Update: Asus ha spiegato la situazione e rilasciato un tool di verifica per chi intende verificare il proprio dispositivo.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Diuàn Calderone scrive:
    ASUS Live Update ormai serve solo a quello. Così come tutti i software del penosissimo supporto Asus.
  • bubba scrive:
    " We saw the updates come down from the Live Update ASUS server. They were trojanized, or malicious updates, and they were signed by ASUS ". MOLTO MALE. significa che i caxxoni avevano proprio accesso al server con le utility (forse il compile server) e sicuramene il signature server... E Asus ci ha dormito sopra parecchio :(
Fonte: Kaspersky
Chiudi i commenti