Kasperskyn tietojen mukaan haittaohjelma pääsi leviämään todella laajalle, mutta varsinaiset hyökkäykset on yhtiön mukaan kohdistettu vain tiettyihin MAC-osoitteen perusteella tunnistettuihin käyttäjiin.

Vihamieliset hakkerit ovat löytäneet tiensä Asuksen Live Update -palvelimille ja saaneet saastutettua lukemattomien käyttäjien tietokoneet. Motherboardin mukaan uhreja pelätään olevan satoja tuhansia ja Kaspersky kertoo 57 000 yhtiön tuotteita käyttävän saaneen saastuneen version Asus Live Update Utility -sovelluksesta.

Operation ShadowHammeriksi kutsuttu hyökkäys on tapahtunut viime vuoden kesä- ja marraskuun välillä ja siitä saatiin vihiä kuluvan vuoden tammikuussa. Kasperskyn julkaisemien tietojen mukaan vaikka lukemattomat ihmiset ovat tietämättään ladanneet saastutetun Asus Live Update Utilityn, on varsinaiset hyökkäykset kohdistettu vain tiettyihin tietokoneisiin, jotka on tunnistettu niiden MAC-osoitteen perusteella.

Kasperskyn haaviin jäi yli 600 uniikkia MAC-osoitetta 200 hyökkäyksessä käytetyn haittaohjelmaverison otannasta, mutta se ei sulje pois mahdollisuutta muista MAC-osoitteista eri haittaohjelmaversioissa. Haittaohjelma asensi tietokoneisiin erilaisia takaovia, joita voidaan hyödyntää muissa hyökkäyksissä.

Saastuneen Asus Live Update Utilityn havaitseminen oli vaikeaa ja meni pitkään tutkien ohi, sillä hakkerit ovat onnistuneet allekirjoittamaan saastutetut versiot Asuksen nimissä ja ne on jaettu Asuksen virallisilta päivityspalvelimilta.

Tämän hetkisten tutkimusten perusteella vaikuttaa siltä, että hyökkäyksen takana on vuoden 2017 ShadowPad-hyökkäyksistä tuttu taho, jonka Microsoft on nimennyt Bariumiksi. Bariumin epäillään olevan yhteydessä myös muihin meneillään oleviin tai lähiaikoina tapahtuneisiin hyökkäyksiin.

Kaspersky on julkaissut työkalun, jolla voi tarkistaa löytyykö oman tietokoneen MAC-osoitetta hyökkäyskohteiden listalta. Työkalusta on saatavilla sekä omalla koneella ajettava versio että nettiversio. Kasperskyn antama tunniste haittaohjelmalle on HEUR:Trojan.Win32.ShadowHammer.gen.

Päivitys:

Asus on julkaissut tiedotteen asian tiimoilta. Yhtiön mukaan tämän tyyppiset hyökkäykset eivät tyypillisesti kohdistu kuluttajiin vaan erilaisiin yrityksiin ja organisaatioihin. Asuksen mukaan Live Update Utility on jo korjattu ja versiosta 3.6.8 lähtien vapaa haittaohjelmista. Lisäksi yhtiö julkaisi työkalun, jolla voi tarkistaa oman tietokoneensa haittaohjelman varalta.

Lähde: SecureList

This site uses XenWord.