ASUS Live Update ถูกฝัง Backdoor คาด Supply Chain ถูกโจมตี

Kaspersky ได้ออกมาเตือนถึงปฏิบัติการ Advance Persistent Threat (APT) ที่ถูกตั้งชื่อว่า ‘ShadowHammer’ ซึ่งเกิดกับซอฟต์แวร์ ASUS Live Update ที่พบมี Backdoor อยู่ภายใน โดยคาดว่ากระทบผู้ใช้งานมากกว่า 1 ล้านราย

Credit: ShutterStock.com

Global Research and Analysis Team (GReAT) ของ Kaspersky ได้กล่าวถึงซอฟต์แวร์ ASUS Live Update ในรายงานว่าเป็น Utility ตัวหนึ่งที่มักถูก pre-install มากับคอมพิวเตอร์ของ ASUS เพื่อทำการอัปเดตอัตโนมัติให้ส่วนประกอบต่างๆ เช่น BIOS, UEFI, Driver หรือแอปพลิเคชัน

สำหรับวิธีการคือคนร้ายมีการทำ Hardcode ลิสต์ของ MAC Address ไว้เช็คในการดาวน์โหลดโค้ดอันตรายในขั้นตอนต่อไปจากเซิร์ฟเวอร์ที่ชื่อ ‘asushotfix[.]com’ แต่ถูกปิดไปแล้วตั้งแต่เดือนพฤศจิกายนหรือไม่เช่นนั้นก็จะไม่แสดงกิจกรรมใดๆ ในเครือข่ายออกมา โดยทาง Kaspersky ได้รับลิสต์ของ MAC มาทั้งหมด 600 รายการจากการเก็บตัวอย่างการโจมตีราว 200 ครั้งซึ่งคาดว่ามีผู้ใช้งาน ASUS Live Update Utility มากกว่า 1 ล้านราย ดังนั้นหมายความว่ามีอาจผู้ใช้ติดตั้งซอฟต์แวร์ที่มี Backdoor จำนวนมากแต่มีกลุ่มเป้าหมายที่มัลแวร์กำลังปฏิบัติการอยู่จริง 600 ราย อย่างไรก็ดี Kaspersky ไม่สามารถระบุจำนวนของเหยื่อที่แท้จริงได้ซึ่งรู้เฉพาะส่วนผู้ใช้ที่ติดตั้งผลิตภัณฑ์ของตนราว 57,000 รายมีการติดตั้ง ASUS Live Update

ในประเด็นของ Supply Chain Attack เกิดขึ้นเพราะ Kaspersky ได้พบกับการใช้งาน Certificate ที่ถูกต้องในนามของ ‘ASUSTeK Computer Inc.’ ที่ตั้งอยู่บนเซิร์ฟเวอร์อัปเดตตัวจริงที่ชื่อ liveupdate01s.asus[.]com จึงทำให้เกิดข้อสันนิษฐานว่า Supply Chain ถูกโจมตีนั่นเอง อย่างไรก็ตามทาง Kaspersky ได้ติดต่อแจ้งเหตุกับ ASUS ไปแล้วแต่ทางบริษัทยืนกรานว่าไม่ถูกแฮ็กและหากเข้ามายุ่งเกี่ยวต้องเซ็นสัญญา NDA (Non-disclosure Agreement) จากนั้นก็เงียบหายไป

สำหรับผู้ที่ต้องการตรวจสอบผลกระทบว่ามี MAC Address ของตนในลิสต์ของมัลแวร์หรือไม่ สามารถตรวจสอบออนไลน์จาก Kaspersky ได้ที่นี่

ที่มา :  https://www.bleepingcomputer.com/news/security/asus-live-update-infected-with-backdoor-in-supply-chain-attack/ และ  https://www.theregister.co.uk/2019/03/25/asus_software_update_utility_backdoor/ และ  https://www.darkreading.com/attacks-breaches/attackers-compromise-asus-software-update-servers-to-distribute-malware/d/d-id/1334244

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

AWS เพิ่มตัวเลือก WorkSpaces รุ่นใหม่รองรับ 32 vCPU สำหรับงานประมวลผลหนัก

AWS เปิดตัว WorkSpaces รุ่นใหม่พร้อม vCPU สูงสุด 32 คอร์และแรม 128GB สำหรับงานประมวลผลหนัก เพิ่มทางเลือกใหม่สำหรับการทำงาน Remote

AWS Management Console สนับสนุน Sign-In พร้อมกันหลายบัญชีได้แล้ว

ล่าสุด AWS ผู้ให้บริการ Cloud ยักษ์ใหญ่ได้ประกาศสนับสนุนการใช้งาน Multi-Session หรือการเข้าถึง AWS Management Console ด้วยบัญชี AWS ได้พร้อมกันหลายบัญชี โดยผู้ใช้งานจะสามารถ Sign-In …