ASUS Live Update ถูกฝัง Backdoor คาด Supply Chain ถูกโจมตี

Kaspersky ได้ออกมาเตือนถึงปฏิบัติการ Advance Persistent Threat (APT) ที่ถูกตั้งชื่อว่า ‘ShadowHammer’ ซึ่งเกิดกับซอฟต์แวร์ ASUS Live Update ที่พบมี Backdoor อยู่ภายใน โดยคาดว่ากระทบผู้ใช้งานมากกว่า 1 ล้านราย

Credit: ShutterStock.com

Global Research and Analysis Team (GReAT) ของ Kaspersky ได้กล่าวถึงซอฟต์แวร์ ASUS Live Update ในรายงานว่าเป็น Utility ตัวหนึ่งที่มักถูก pre-install มากับคอมพิวเตอร์ของ ASUS เพื่อทำการอัปเดตอัตโนมัติให้ส่วนประกอบต่างๆ เช่น BIOS, UEFI, Driver หรือแอปพลิเคชัน

สำหรับวิธีการคือคนร้ายมีการทำ Hardcode ลิสต์ของ MAC Address ไว้เช็คในการดาวน์โหลดโค้ดอันตรายในขั้นตอนต่อไปจากเซิร์ฟเวอร์ที่ชื่อ ‘asushotfix[.]com’ แต่ถูกปิดไปแล้วตั้งแต่เดือนพฤศจิกายนหรือไม่เช่นนั้นก็จะไม่แสดงกิจกรรมใดๆ ในเครือข่ายออกมา โดยทาง Kaspersky ได้รับลิสต์ของ MAC มาทั้งหมด 600 รายการจากการเก็บตัวอย่างการโจมตีราว 200 ครั้งซึ่งคาดว่ามีผู้ใช้งาน ASUS Live Update Utility มากกว่า 1 ล้านราย ดังนั้นหมายความว่ามีอาจผู้ใช้ติดตั้งซอฟต์แวร์ที่มี Backdoor จำนวนมากแต่มีกลุ่มเป้าหมายที่มัลแวร์กำลังปฏิบัติการอยู่จริง 600 ราย อย่างไรก็ดี Kaspersky ไม่สามารถระบุจำนวนของเหยื่อที่แท้จริงได้ซึ่งรู้เฉพาะส่วนผู้ใช้ที่ติดตั้งผลิตภัณฑ์ของตนราว 57,000 รายมีการติดตั้ง ASUS Live Update

ในประเด็นของ Supply Chain Attack เกิดขึ้นเพราะ Kaspersky ได้พบกับการใช้งาน Certificate ที่ถูกต้องในนามของ ‘ASUSTeK Computer Inc.’ ที่ตั้งอยู่บนเซิร์ฟเวอร์อัปเดตตัวจริงที่ชื่อ liveupdate01s.asus[.]com จึงทำให้เกิดข้อสันนิษฐานว่า Supply Chain ถูกโจมตีนั่นเอง อย่างไรก็ตามทาง Kaspersky ได้ติดต่อแจ้งเหตุกับ ASUS ไปแล้วแต่ทางบริษัทยืนกรานว่าไม่ถูกแฮ็กและหากเข้ามายุ่งเกี่ยวต้องเซ็นสัญญา NDA (Non-disclosure Agreement) จากนั้นก็เงียบหายไป

สำหรับผู้ที่ต้องการตรวจสอบผลกระทบว่ามี MAC Address ของตนในลิสต์ของมัลแวร์หรือไม่ สามารถตรวจสอบออนไลน์จาก Kaspersky ได้ที่นี่

ที่มา :  https://www.bleepingcomputer.com/news/security/asus-live-update-infected-with-backdoor-in-supply-chain-attack/ และ  https://www.theregister.co.uk/2019/03/25/asus_software_update_utility_backdoor/ และ  https://www.darkreading.com/attacks-breaches/attackers-compromise-asus-software-update-servers-to-distribute-malware/d/d-id/1334244


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

สัมภาษณ์พิเศษผู้บริหาร Digitalcom : แนวโน้มของตลาดกล้องวงจรปิดในปัจจุบัน

อุปกรณ์กล้องวงจรปิดถือเป็นหนึ่งในโซลูชันด้านความมั่นคงปลอดภัยเชิงกายภาพที่ โรงงาน องค์กร และห้างร้าน จะขาดเสียไม่ได้ อย่างไรก็ตามปัจจุบันก็มีแบรนด์ต่างๆ เกิดขึ้นมาให้เราเลือกอย่างมากมาย แต่เราจะมั่นใจได้อย่างไรว่าอุปกรณ์นั้นจะใช้ได้จริงไม่กลายเป็นกล้อง Dummy คุณภาพการถ่ายเวลากลางคืนเป็นอย่างไร หรือแม้กระทั่งบริการหลังการขาย โดยเมื่อไม่กี่วันที่ผ่านมาทางทีมงาน TechTalkThai ได้รับเกียรติจาก Digitalcom …

AIS กับการปรับองค์กรในยุคดิจิทัล – เปิดรับนวัตกรรม สนับสนุนสตาร์ทอัพภายใน สร้างวัฒนธรรมการเปลี่ยนแปลงใน DNA ของทุกฝ่าย

องค์กรทั้งหลายในปัจจุบันต่างก็ตระหนักดีถึงความสำคัญของการปรับตัวไปตามเทคโนโลยีและความต้องการของผู้บริโภคที่เกิดขึ้นอย่างรวดเร็ว โจทย์ที่พวกเขาต้องตอบให้ได้เพื่อการเข้าร่วมแข่งขันในตลาด ณ ตอนนี้ คือการปรับตัวอย่างรวดเร็วและมีประสิทธิภาพ ใช้เทคโนโลยีช่วยสร้างคุณค่าและลดต้นทุน รวมไปถึงการเปลี่ยนแปลงโมเดลธุรกิจให้ทันสมัย และสอดคล้องกับความเป็นไปมากขึ้น ซึ่งสิ่งเหล่านี้จะเกิดขึ้นไม่ได้เลย หากสมาชิกภายในองค์กรทุกคนไม่มีการเปลี่ยนแปลง ทีมงาน ADPT มีโอกาสได้ร่วมพูดคุยกับ AIS ถึงแนวทางที่พวกเขาได้เริ่มต้นใช้เพื่อเปลี่ยนแปลงตัวเองในยุคของ Digital Transformation ตั้งแต่แนวคิด …