เซิร์ฟเวอร์อัปเดตซอฟต์แวร์ของ ASUS ถูกแฮ็ก คอมพิวเตอร์กว่าล้านเครื่องถูกแพร่มัลแวร์

Kasperksy Lab ผู้ให้บริการ Endpoint Security ชื่อดังออกมาเปิดเผยถึงหนึ่งใน Supply Chain Attack ที่ใหญ่ที่สุดในโลก ส่งผลให้คอมพิวเตอร์ ASUS มากกว่า 1 ล้านเครื่องถูกแฮ็ก โดยตั้งชื่อปฏิบัติการนี้ว่า Operation ShadowHammer

นักวิจัยด้านความมั่นคงปลอดภัยของ Kaspersky Lab ค้นพบว่า มีกลุ่มแฮ็กเกอร์ที่มีหน่วยงานรัฐหนุนหลัง (State-sponsored Hackers) ได้ทำการไฮแจ็ก ASUS Live ซึ่งเป็นเซิร์ฟเวอร์สำหรับอัปเดตซอฟต์แวร์คอมพิวเตอร์ของ ASUS โดยอัตโนมัติ ระหว่างเดือนมิถุนายนจนถึงเดือนพฤศจิกายน 2018 เพื่อใช้เป็นฐานในการแพร่อัปเดตที่แฝง Backdoor เข้าไปติดตั้งลงบนคอมพิวเตอร์ของ ASUS มากกว่า 1,000,000 เครื่อง

จากการวิเคราะห์มัลแวร์อัปเดตกว่า 200 ตัวอย่าง Kaspersky Lab พบว่าแฮ็กเกอร์ไม่ได้ต้องการโจมตีผู้ใช้ทั่วไป แต่ต้องการโจมตีเฉพาะผู้ใช้ที่มีหมายเลข MAC ตรงกับที่ฮาร์ดโค้ดไว้ในมัลแวร์เท่านั้น ซึ่งคาดว่ามีประมาณ 600 รายการหรือมากกว่านั้น โดยเหยื่อส่วนใหญ่ที่ Kaspersky Lab ค้นพบมาจากประเทศรัสเซีย เยอรมนี ฝรั่งเศส อิตาลี และสหรัฐฯ

เช่นเดียวกับกรณี CCleaner และ ShadowPad มัลแวร์อัปเดตถูกเซ็นด้วย Digital Certicate ของ ASUS เพื่อหลอกระบบปฏิบัติการว่าเป็นซอฟต์แวร์อัปเดตอย่างเป็นทางการจากบริษัทฯ และหลีกเลี่ยงการถูกตรวจจับโดยระบบรักษาความมั่นคงปลอดภัย

จนถึงตอนนี้ Kaspersky Lab ยังไม่ได้ระบุแน่ชัดว่าเบื้องหลังการโจมตีเป็นแฮ็กเกอร์กลุ่มใด แต่จากหลักฐานที่มีคาดว่าอาจมีความเชื่อมโยงกับเหตุการณ์ ShadowPad ที่เกิดขึ้นในปี 2017 ซึ่ง Microsoft เชื่อว่าเป็นฝีมือของกลุ่มแฮ็กเกอร์ BARIUM

Kaspersky Lab ได้แจ้งเรื่องไปยัง ASUS ตั้งแต่วันที่ 31 มกราคม 2019 รวมไปถึงเปิดให้ดาวน์โหลดเครื่องมือสำหรับตรวจสอบว่า คอมพิวเตอร์ ASUS ที่ตนใช้อยู่ตกเป็นเป้าหมายของ Operation ShadowHammer หรือไม่ ผู้ใช้ ASUS สามารถดาวน์โหลดได้ที่: https://kas.pr/shadowhammer

รายละเอียดเชิงเทคนิค: https://securelist.com/operation-shadowhammer/89992/
ที่มา: https://thehackernews.com/2019/03/asus-computer-hacking.html