Новини
Lexus в сервисе: как избежать неприятных сюрпризов при ремонте
Разумная покупка: секреты выбора оптимального бензинового генератора
Чехлы для iPhone X: защита и стиль от Custom Studio
Обмін Perfect Money (USD) на гривні (UAH) із зарахуванням на картки Visa і MasterCard
Салат з оселедця
«Клюківка» наливка журавлинна
Ребрышки свиные в фольге.
Салат «Мімоза» з крабовими паличками
Салат «Моя відповідь Олів'є»
Забальоне
Цукрова консервована кукурудза
Яхни

Сервер оновлень ASUS півроку розсилав троян

Навчання

Сервер компанії ASUS протягом декількох місяців поширював модифіковану зловмисниками утиліту оновлення комп'ютера, що містить шкідливий код, повідомляється в прес-релізі «Лабораторії Касперського», фахівці якої виявили підміну. Модифікована версія була підписана сертифікатом ASUS, а її розмір повністю збігався з оригіналом. Фахівці з'ясували, що метою зловмисників були 600 пристроїв, адреси яких були виявлені в коді програми.


Як правило, зловмисники використовують для поширення шкідливого програмного забезпечення сторонні сервіси. Крім того, найчастіше вони користуються методом фішингу, при якому підроблений сервіс імітує справжній і тим самим підвищує довіру користувача. Однак у деяких випадках, крім створення схожих зовні сайтів зловмисникам вдається скористатися технічними методами, які можуть обдурити не тільки користувача, але і системи безпеки. Наприклад, вони можуть отримати доступ до механізму підпису програмного забезпечення і підписати свою програму легітимним сертифікатом.


Фахівці «Лабораторії Касперського» виявили в січні 2019 року, що сервер оновлень ASUS протягом приблизно півроку (з червня по листопад 2018 року) роздавав модифіковану зловмисниками, але підписану сертифікатом компанії утиліту ASUS Live Update, яку використовують для оновлення комп'ютерів ASUS. Motherboard зазначає з посиланням на представника «Лабораторії Касперського», що зловмисники використовували версію утиліти 2015 року, в яку було додано шкідливий код. Фахівець зазначив, що, мабуть, у зловмисників був доступ до сервера підпису програмного забезпечення ASUS. Модифікована утиліта була встановлена на комп'ютерах як мінімум 57 тисяч користувачів програм «Лабораторії Касперського» і 13 тисяч користувачів програм Symantec.

Найцікавіша частина висновків розслідування фахівців полягає в тому, що, судячи з усього, метою авторів трояна були не звичайні користувачі. Справа в тому, що при аналізі коду програми дослідники виявили в ньому 600 хешів MAC-адрес мережевих карт комп'ютерів. При запуску програма звіряє MAC-адресу комп'ютера зі списком і, якщо знаходить його в списку, приступає до скачування іншої шкідливої програми, правда, вже не з офіційного сервера ASUS, а з імітуючого його.

«Лабораторія Касперського» зазначає, що зв'язалася з ASUS через два дні після виявлення проблеми. Компанія перестала використовувати два використаних в атаці сертифікати для підпису, але досі не анулювала їх.

Раніше для поширення троянів вже використовували інші незвичайні шляхи. Наприклад, минулого року дослідники в галузі інформаційної безпеки виявили шкідливу програму, яка приймає команди, приховані в мемах, опублікованих у твіттері. Після отримання команд вона збирає дані відповідно до них і відсилає їх на сервер, адреса якого також дізнається з проміжного і публічно доступного сервісу.

COM_SPPAGEBUILDER_NO_ITEMS_FOUND