Kaspersky ได้ออกมาเตือนถึงปฏิบัติการ Advance Persistent Threat (APT) ที่ถูกตั้งชื่อว่า ‘ShadowHammer’ ซึ่งเกิดกับซอฟต์แวร์ ASUS Live Update ที่พบมี Backdoor อยู่ภายใน โดยคาดว่ากระทบผู้ใช้งานมากกว่า 1 ล้านราย
Global Research and Analysis Team (GReAT) ของ Kaspersky ได้กล่าวถึงซอฟต์แวร์ ASUS Live Update ในรายงานว่าเป็น Utility ตัวหนึ่งที่มักถูก pre-install มากับคอมพิวเตอร์ของ ASUS เพื่อทำการอัปเดตอัตโนมัติให้ส่วนประกอบต่างๆ เช่น BIOS, UEFI, Driver หรือแอปพลิเคชัน
สำหรับวิธีการคือคนร้ายมีการทำ Hardcode ลิสต์ของ MAC Address ไว้เช็คในการดาวน์โหลดโค้ดอันตรายในขั้นตอนต่อไปจากเซิร์ฟเวอร์ที่ชื่อ ‘asushotfix[.]com’ แต่ถูกปิดไปแล้วตั้งแต่เดือนพฤศจิกายนหรือไม่เช่นนั้นก็จะไม่แสดงกิจกรรมใดๆ ในเครือข่ายออกมา โดยทาง Kaspersky ได้รับลิสต์ของ MAC มาทั้งหมด 600 รายการจากการเก็บตัวอย่างการโจมตีราว 200 ครั้งซึ่งคาดว่ามีผู้ใช้งาน ASUS Live Update Utility มากกว่า 1 ล้านราย ดังนั้นหมายความว่ามีอาจผู้ใช้ติดตั้งซอฟต์แวร์ที่มี Backdoor จำนวนมากแต่มีกลุ่มเป้าหมายที่มัลแวร์กำลังปฏิบัติการอยู่จริง 600 ราย อย่างไรก็ดี Kaspersky ไม่สามารถระบุจำนวนของเหยื่อที่แท้จริงได้ซึ่งรู้เฉพาะส่วนผู้ใช้ที่ติดตั้งผลิตภัณฑ์ของตนราว 57,000 รายมีการติดตั้ง ASUS Live Update
ในประเด็นของ Supply Chain Attack เกิดขึ้นเพราะ Kaspersky ได้พบกับการใช้งาน Certificate ที่ถูกต้องในนามของ ‘ASUSTeK Computer Inc.’ ที่ตั้งอยู่บนเซิร์ฟเวอร์อัปเดตตัวจริงที่ชื่อ liveupdate01s.asus[.]com จึงทำให้เกิดข้อสันนิษฐานว่า Supply Chain ถูกโจมตีนั่นเอง อย่างไรก็ตามทาง Kaspersky ได้ติดต่อแจ้งเหตุกับ ASUS ไปแล้วแต่ทางบริษัทยืนกรานว่าไม่ถูกแฮ็กและหากเข้ามายุ่งเกี่ยวต้องเซ็นสัญญา NDA (Non-disclosure Agreement) จากนั้นก็เงียบหายไป
สำหรับผู้ที่ต้องการตรวจสอบผลกระทบว่ามี MAC Address ของตนในลิสต์ของมัลแวร์หรือไม่ สามารถตรวจสอบออนไลน์จาก Kaspersky ได้ที่นี่
ที่มา : https://www.bleepingcomputer.com/news/security/asus-live-update-infected-with-backdoor-in-supply-chain-attack/ และ https://www.theregister.co.uk/2019/03/25/asus_software_update_utility_backdoor/ และ https://www.darkreading.com/attacks-breaches/attackers-compromise-asus-software-update-servers-to-distribute-malware/d/d-id/1334244