Kaspersky: هک سرور‌های به‌روز رسانی ایسوس جهت توزیع بکدور‌های مخرب

بر اساس آخرین گزارش تحقیقی که توسط آزمایشگاه امنیت کسپرسکی Kaspersky منتشر شد، سرور به روزرسانی رسمی ایسوس (ASUS) مورد یک حمله هکری قرار گرفت و طی آن برنامه‌های بکدور ShadowHammer برای کاربران توزیع شد. این حمله از نوع حمله زنجیره‌ تامین است که به برنامه ارائه‌کننده حمله کرده و سپس ویروس تروجان را برای کاربر ارسال می‌کند.

از جمله حملات زنجیره تامین شناخته شده، برنامه پاکسازی Avast CCleaner است که طی سال گذشته ده‌ها میلیون کاربر را تحت تاثیر قرار داد. اگرچه حمله ایسوس تاثیری بر ده‌ها میلیون کاربر نداشته، اما بیش از 57،000 کاربر را آلوده به بد‌افزار کرده است. این نرم‌افزار به طور عمده جهت فراهم آوردن BIOS/UEFI و به‌روز رسانی‌های نرم‌افزاری در نظر گرفته شده است و این برنامه باید از قبل روی اغلب دستگاه‌های ایسوس نصب شده باشد. بنابراین تا زمانی که کاربر فعالانه برنامه را نانصب یا ترک نکند، برنامه در پس زمینه به کاربر سرور ایسوس متصل خواهد شد تا احتمال وجود نسخه جدید را بررسی کرده و سپس دانلود می‌شود.

طبق آمار Lab Kaspersky، تخمین زده شده که میلیون‌ها کاربر با یک نسخه حاوی ویروس مواجه شده‌، و حداقل 57،000 تَن از آن‌ها واقعاً آلوده شده‌اند. این 57،000 کاربران نیز جزو کاربران آتنی‌ویروس کسپرسکی هستند، یعنی کاربرانی که از کسپرسکی استفاده نکرده‌اند در این آمار نیستند.

پس از شکستن موفقیت‌آمیز سرور داخلی ایسوس، هکرها بدافزار را در کتابخانه مهندس توسعه قرار دادند و سپس مهندسین امضای آن را با بدافزار تعبیه شده بسته‌بندی کردند. نسخه مخربی که توسط کاربر دریافت شده، امضای رسمی ایسوس را دارد و این امضا به اکثر نرم‌افزارهای آنتی ویروس اجازه می‌دهد که به‌طور خودکار و به‌صورت مخفیانه، انتشار پیدا کنند. ماژول‌های ویروسی ارایه شده توسط هکرها حتی در سرورهای ایسوس به طور خاص اصلاح شده‌اند و برای جلوگیری از شناسایی، اندازه فایل آن‌ها تقریباً با اندازه فایل جایگزین شده برابر است. برای مهندسین ایسوس اندازه پرونده تخمینی و غیر منتظره نبود و نسخه مخرب با موفقیت به امضا رسید.

کسپرسکی ابزاری خودکار برای کاربران منتشر کرده تا بررسی کنند که آیا به طور خاص توسط ShadowHammer هدف حمله قرار گرفته‌اند یا خیر.