Лаборатория Касперского обнародовала данные о крайне опасной «тихой» атаке, которой подверглись примерно миллион компьютеров производства Asus. Формально это обычный бэкдор, настоящая же проблема в механизме его распространения. И потому не очень удивляет тот факт, что в самой тайваньской компании хранят тревожное молчание – открытие бросает тень на всю индустрию сетевой безопасности.
Некие хакеры смогли изменить утилиту для получения обновлений Asus Live Update, размещенную в бэкэнд-системах Asus. И позаботились о том, чтобы подписать ее с помощью официального сертификата безопасности компании-производителя. Так как утилиты для обновления по умолчанию работают на всех компьютерах, бэкдор прописался там незаметно как для самих владельцев, так и для любых систем безопасности. В Лаборатории Касперского рапортовали об обнаружении 57 000 зараженных компьютеров, что при экстраполяции данных дает примерно миллион атакованных машин по всему миру.
Помимо Asus вредоносное ПО было найдено и в прошивках трех других, пока не афишируемых производителей. Вслед за русскими бекдор нашли и в Symantec, ему уже дали имя «ShadowHammer». Самое неприятное здесь то, что исходные файлы размещались на официальных серверах liveupdate01s.asus[.]com и liveupdate01.asus[.]com. Получается крайне опасный сценарий – в поисках защиты пользователи качают обновления с серверов компаний, но в цепочку доставки файлов уже встроен вредоносный элемент.
Вовсе не исключено, что истинной целью неведомых злодеев были как раз привычки пользователей, а не сами компьютеры. Ведь если люди разуверятся в средствах информационной защиты и перестанут ими пользоваться, они окажутся крайне уязвимы. А уязвимости, которые надо закрывать при помощи обновлений, будут появляться всегда.
