En statligt sponsrad kinesisk hackgrupp infekterade datortillverkaren Asus uppdateringsservrar 2018 och skadlig firmwareuppdateringar drevs ut till minst 70 000 Asus-datoranvändare över hela världen, det ryska antivirusprogrammet fast Kaspersky Lab avslöjades i ett blogginlägg idag (25 mars) efter en berättelse i Vice moderkort fick scoop på Kasperskys resultat.

Upphovsman: Lukmanazis / Shutterstock
(Bildkredit: Lukmanazis / Shutterstock)

Tre programvarutillverkare baserade i Asien verkar också ha fått sina uppdateringsservrar infekterade på ett liknande sätt, berättade en talesman för Kaspersky till Tom's Guide. Asus berättade för Tom's Guide att företaget skulle ha ett uttalande om problemet "imorgon eftermiddag."

Medan tiotusentals, möjligen miljoner, Asus-datorer smittades av vad Kaspersky kallade "Operation ShadowHammer", är infektionen vilande på nästan alla. Skadlig programvara var endast aktiv på 600 Asus-maskiner vars MAC-adresser - de unika identifieringsnumren för nätverksgränssnitt - var hårdkodade i skadlig kod.

"Om du inte är ett mål är skadlig programvara nästan tyst," sa Kaspersky-forskaren Costin Raiu till Vice moderkort.

Antalet infekterade datorer baseras på 57 000 maskiner som Kaspersky kunde "se" - dvs. de med Kaspersky antivirusprogram redan installerad. Symantec, vilket gör Norton Security bland andra antivirusprodukter berättade för Vice moderkort att 13 000 maskiner som kör Symantec-programvaran också var infekterade.

"Vi kan inte beräkna det totala antalet berörda användare endast baserat på våra data", säger Kaspersky-blogginlägget. "Vi uppskattar dock att den verkliga storleken på problemet är mycket större och eventuellt påverkar över en miljon användare världen över."

MER: Bästa antivirusprogram

Hur man kontrollerar om du påverkas

Kaspersky har publicerat ett programverktyg att du kan ladda ner och köra för att kontrollera om din Asus-maskin har infekterats av den skadliga firmwareuppdateringen. Verktyget kommer att köras på vilken Windows-maskin som helst, berättade Raiu för Tom's Guide.

Kaspersky har också ett onlineverktyg med vilken du kan kontrollera om någon av din maskins MAC-adresser (Ethernet, Wi-Fi och Bluetooth-anslutningar kommer var och en att ha sina egna) var bland de 600 udda MAC-adresserna på skadlig programvara träfflista.

Vem har äventyrat programvaran?

En representant från Kaspersky sa till vice moderkort att medan Asus var medveten om problemet hade den taiwanesiska datortillverkaren inte meddelat sina kunder. Ett pressmeddelande från Kaspersky som skickades till Tom's Guide indikerade att programvara från tre andra företag baserade i Asien var "bakdörr med mycket liknande metoder och tekniker", även om Kaspersky inte nämnde dem företag.

En taleskvinna från Kaspersky verkade initialt bekräfta för Toms guide att de tre företagen också var datatillverkare, men ytterligare förtydligande avslöjade att de faktiskt var programvarutillverkare. Dessa företag har meddelats om problemet.

"De utvalda leverantörerna är extremt attraktiva mål för APT-grupper som kanske vill dra nytta av sin stora kundbas", säger Kasperskys forskare Vitaly Kamluk i pressmeddelandet.

"De andra leverantörerna som riktas in i denna attack är programvaruleverantörer, inte hårdvara", sa Raiu till Toms guide genom en talesman. "Enligt vår kunskap är Asus den enda hårdvaruleverantören som påverkas av denna attack."

Vi säger inte att det är Kina, men... det är Kina

Kaspersky hade sparat sina resultat för sitt eget Security Analyst Summit i Singapore nästa månad, men frilans journalisten Kim Zetter, som skrev för moderkortet, fick veta historien och kontaktade Kaspersky för bekräftelse och kommentar. Hennes rapport gick upp ungefär samma tid som Kasperskys blogginlägg. Kaspersky planerar att avslöja mer information om de tre andra leverantörerna som berörs vid toppmötet.

Attackens mycket riktade karaktär indikerar att detta är en informationsinsamlingsoperation som drivs av en nationell underrättelsetjänst. De infekterade maskinerna som Kaspersky kunde "se" var främst i Ryssland, Tyskland, Frankrike, Italien och USA, som enligt Kaspersky-rapporten speglar "fördelningen av Kaspersky-användare runt värld."

Men Kaspersky såg inte många infekterade användare i Kina, och det sa att attacken såg ut som den arbete av en nationalstat hacking grupp kodnamn BARIUM av Kaspersky, Microsoft och andra hot forskare.

Kaspersky har en policy att aldrig gissa vilka regeringar som sponsrar vilka hackgrupper (även när det är ganska uppenbart), men andra hotforskare har fäst BARIUM på kinesiska underrättelsetjänster, och till och med Kaspersky listar själv BARIUM som en av flera "Kinesisktalande skådespelare."

Hur ShadowHammer-attacken fungerar

Operation ShadowHammer började infektera Asus-maskiner via Asus Live Update-verktyget i juni 2018 och fortsatte att göra det i november, sa Kaspersky. Kasperskys egna forskare upptäckte skadlig programvara den 1 januari. 29, 2019 och meddelade Asus två dagar senare.

Om den infekterade maskinen har en MAC-adress i skadlig programvarulista, aktiverar skadlig programvara en "bakdörr" genom vilken annan skadlig kod kan laddas ner och installeras och når ut till en kommando-och-kontroll-server för att fånga mer programvara. MAC-adresser för enskilda maskiner listas inte offentligt, så angriparna måste ha fått de riktade maskinernas MAC-adresser på annat sätt.

"De försökte inte rikta in sig på så många användare som möjligt", sa Kamluk till moderkortet. "De ville komma in i mycket specifika mål och de visste redan i förväg deras nätverkskort MAC-adress, vilket är ganska intressant."

Raiu berättade för Tom's Guide att Kaspersky-forskare inte visste varför operationen slutade infektera maskiner i november, och blogginlägget från Kaspersky sa att det inte var klart vem som riktas in.

Kaspersky berättade för moderkortet att minst en maskin som kör Kaspersky-programvaran var på träfflistan, men Kaspersky-forskare har inte kunnat ta reda på vem maskinen tillhör. Kaspersky har inte ett urval av skadlig programvara från "andra tillstånd" som skadlig programvara för bakdörren installerar.

Asus i förnekelse?

Kamluk berättade för moderkortet att Asus förnekade att dess servrar hade äventyrats när Kaspersky meddelade den taiwanesiska datortillverkaren om infektionen. Symantec-forskaren Liam O'Murchu bekräftade för moderkortet att de skadade firmwareuppdateringarna kom från Asus-servrarna.

"Vi såg uppdateringarna komma ner från Live Update Asus-servern," sa O'Murchu. "De var trojaniserade eller skadliga uppdateringar och de undertecknades av Asus."

Liksom många andra datortillverkare driver Asus regelbundet ut firmware- och programuppdateringar som är separata från Microsofts månatliga Windows-uppdateringar. Dessa uppdateringar är "kryptografiskt" signerade "med ett digitalt certifikat som verifierar att programvaran kommer från Asus.

Angriparna undertecknade i det här fallet de skadliga firmwareuppdateringarna med två olika Asus-certifikat och bytte den ena mot den andra efter att den första gick ut. Alla Asus-maskiner skulle ha accepterat uppdateringarna som äkta, och antivirusprogram skulle inte ha utlösts.

Även om Asus har slutat använda båda certifikaten för att signera sin egen programvara, sa Kamluk till moderkortet, varken har ogiltigförklarats och åtminstone en kan fortfarande användas för att installera skadlig programvara på Asus maskiner.

Slå dem i försörjningskedjan

Sådana "supply chain" -attacker, där skadliga aktörer smyger skadlig programvara till hårdvara eller programvara som redan är på väg mot mål, har hänt tidigare. Det kanske mest kända, som Zetter noterade för moderkortet, var "Flame" -attacken 2012 som drabbade specifikt riktade maskiner med skadad Windows Update-programvara som spionerade på maskinerna.

Men Flame, som tros utvecklas av NSA tillsammans med israelisk underrättelse, kom inte direkt från Microsofts egna servrar, utan snarare från en falsk Microsoft-server som angriparna hade uppstart. ShadowHammer placerades däremot på Asus egna servrar och drevs ut till Asus datoranvändare på vanligt sätt.