華碩電腦升級伺服器遭駭長達5月，超過百萬台PC被安裝後門程式

安全廠商卡巴斯基發現，華碩電腦的軟體更新伺服器遭惡意程式入侵，用來散佈後門程式，時間可能長達5個月，受害電腦數量可能高達百萬。

這項消息由Motherboard於周一首先報導。卡巴斯基研究人員今年一月發現到這項命名為ShadowHammer 行動（Operation ShadowHammer）的供應鏈攻擊，它發生於2018年6到11月之間，利用ASUS Live Update Utility更新過程向外散佈。ASUS Live Update預安裝於多數Asus 電腦上，主要是用於更新電腦特定元件，包括BIOS、UEFI、驅動程式和應用程式等。

ShadowHammer攻擊背後的駭客將惡意程式更新器代管在華碩official liveupdate01s.asus[.]com及liveupdate01.asus[.]com的華碩伺服器上，由其推送後門程式到用戶電腦上。

研究人員根據蒐集到的資訊估計，有超過5.7萬名卡巴斯基用戶已下載了被注入後門程式的ASUS Live Update。實際受害人數則無法計算，推算全球可能有超過百萬台PC用戶受影響，分佈地區以俄羅斯、法國及德國居前三大。

不過安全公司相信，這樁攻擊其實是以一小群人為目標的精準攻擊。攻擊者在後門程式中寫入一個MAC位址清單，以便辨識它真正的目標電腦。研究人員在200隻惡意程式中已清查600多個不重覆的MAC位址。卡巴斯基也提供了找到的MAC位址清單供使用者查詢。

ShadowHammer和2017年發生的ShadowPad頗為類似，後者作者Barium以散佈Winnti後門程式聞名，去年10月遭微軟起訴。但研究人員認為ShadowHammer比起ShadowPad及同年九月感染200多萬台電腦的CCleaner更高明、更複雜。而它之所以能潛伏5個月不為人知，部份原因可能是這個惡意程式更新器經由合法憑證簽章之故。

研究人員已在今年1月31 日通報華碩，支援後者的調查。