北京时间3月26日早间消息,据美国科技媒体TechCrunch报道,来自卡巴斯基实验室(Kaspersky Labs)的安全研究人员周一表示,他们发现去年黑客
北京时间3月26日早间消息,据美国科技媒体TechCrunch报道,来自卡巴斯基实验室(Kaspersky Labs)的安全研究人员周一表示,他们发现去年黑客通过华硕Live Update软件的漏洞入侵计算机,向100多万华硕电脑用户发送了恶意软件,导致这些电脑可能存在后门。
研究人员说,攻击最早是在2019年1月发现的。代号为“Operation ShadowHammer”的攻击活动是2018年6月至11月发生,目的是提供一个带有后门的软件更新,让黑客能够进入受感染的电脑,可能影响无数用户。
华硕的大多电脑都预装Live Update Utility软件,而Operation ShadowHammer攻击活动瞄准的正是这款软件。华硕Live Update确保计算机系统(比如驱动、App、BIOS、UEFI)到期之后能及时更新。
卡巴斯基表示,超过5.7万名用户下载并安装了受攻击的华硕更新,但黑客的目标是数量较少的不明受害者。通过漏洞,Operation ShadowHammer可以发起非常复杂的供应链攻击,其复杂性超过Shadowpad和CCleaner攻击。
“我们无法仅根据我们的数据计算受影响用户的总数;然而,我们估计,这个问题的真正规模要大得多,可能会影响全球100多万用户,”卡巴斯基在一篇博客文章中表示。
卡巴斯基认为,只要软件拥有合法华硕安全证书,攻击就不会被发现。而且更新还寄存于合法华硕更新域名内,比如liveupdate01s.asus[.]com和liveupdate01.asus[.]com,从而确保Operation ShadowHammer活动更难被察觉。
同时,赛门铁克发言人表示,该公司的研究人员也能够识别针对华硕用户的攻击。
而华硕表示,将于周二发布一份声明。
这次攻击最先由科技新闻网站Motherboard报道,显示出黑客能够利用科技公司及其供应商的规模,接触到大量受害者。
卡巴斯基表示,该公司已于今年1月将攻击事件通知华硕,并正在协助华硕展开调查。不过Motherboard报道称,此前围绕这一问题,华硕与卡巴斯基代表协商,不过当时没有后续。华硕拒绝承认自己的服务器有漏洞,继续使用其中一种有漏洞的安全证书,通知之后至少过了一个月,出现一起攻击事件,它就是由此证书引起的。之后华硕停用证书,但是证书仍然可以被唤醒。
美国科技媒体ZDNet认为,华硕可能不是故意通过更新系统将恶意软件散播给如此多的用户。不过攻击者似乎只是瞄准600个目标,硬编码到恶意软件中,然后根据网络适配器使用的独特MAC地址来确认。
通过恶意软件的“Surgical”过滤方法可以确定受害者,然后木马软件将后门装到机器,并下载更多东西。研究人员说,如果你已经下载软件和后门,但是不在目标名单之上,恶意软件不会有进一步动作。
对Operation ShadowHammer的调查还在继续,4月份,在卡巴斯基安全分析师峰会(SAS)上,将会公布结果,并发表技术报告。(中天)
