Kaspersky: هک سرورهای بهروز رسانی ایسوس جهت توزیع بکدورهای مخرب
بر اساس آخرین گزارش تحقیقی که توسط آزمایشگاه امنیت کسپرسکی Kaspersky منتشر شد، سرور به روزرسانی رسمی ایسوس (ASUS) مورد یک حمله هکری قرار گرفت و طی آن برنامههای بکدور ShadowHammer برای کاربران توزیع شد. این حمله از نوع حمله زنجیره تامین است که به برنامه ارائهکننده حمله کرده و سپس ویروس تروجان را برای کاربر ارسال میکند.
از جمله حملات زنجیره تامین شناخته شده، برنامه پاکسازی Avast CCleaner است که طی سال گذشته دهها میلیون کاربر را تحت تاثیر قرار داد. اگرچه حمله ایسوس تاثیری بر دهها میلیون کاربر نداشته، اما بیش از 57،000 کاربر را آلوده به بدافزار کرده است. این نرمافزار به طور عمده جهت فراهم آوردن BIOS/UEFI و بهروز رسانیهای نرمافزاری در نظر گرفته شده است و این برنامه باید از قبل روی اغلب دستگاههای ایسوس نصب شده باشد. بنابراین تا زمانی که کاربر فعالانه برنامه را نانصب یا ترک نکند، برنامه در پس زمینه به کاربر سرور ایسوس متصل خواهد شد تا احتمال وجود نسخه جدید را بررسی کرده و سپس دانلود میشود.
طبق آمار Lab Kaspersky، تخمین زده شده که میلیونها کاربر با یک نسخه حاوی ویروس مواجه شده، و حداقل 57،000 تَن از آنها واقعاً آلوده شدهاند. این 57،000 کاربران نیز جزو کاربران آتنیویروس کسپرسکی هستند، یعنی کاربرانی که از کسپرسکی استفاده نکردهاند در این آمار نیستند.
پس از شکستن موفقیتآمیز سرور داخلی ایسوس، هکرها بدافزار را در کتابخانه مهندس توسعه قرار دادند و سپس مهندسین امضای آن را با بدافزار تعبیه شده بستهبندی کردند. نسخه مخربی که توسط کاربر دریافت شده، امضای رسمی ایسوس را دارد و این امضا به اکثر نرمافزارهای آنتی ویروس اجازه میدهد که بهطور خودکار و بهصورت مخفیانه، انتشار پیدا کنند. ماژولهای ویروسی ارایه شده توسط هکرها حتی در سرورهای ایسوس به طور خاص اصلاح شدهاند و برای جلوگیری از شناسایی، اندازه فایل آنها تقریباً با اندازه فایل جایگزین شده برابر است. برای مهندسین ایسوس اندازه پرونده تخمینی و غیر منتظره نبود و نسخه مخرب با موفقیت به امضا رسید.
کسپرسکی ابزاری خودکار برای کاربران منتشر کرده تا بررسی کنند که آیا به طور خاص توسط ShadowHammer هدف حمله قرار گرفتهاند یا خیر.