圖片來源: 

卡巴斯基

安全廠商卡巴斯基發現,華碩電腦的軟體更新伺服器遭惡意程式入侵,用來散佈後門程式,時間可能長達5個月,受害電腦數量可能高達百萬。

這項消息由Motherboard於周一首先報導。卡巴斯基研究人員今年一月發現到這項命名為ShadowHammer 行動(Operation ShadowHammer)的供應鏈攻擊,它發生於2018年6到11月之間,利用ASUS Live Update Utility更新過程向外散佈。ASUS Live Update預安裝於多數Asus 電腦上,主要是用於更新電腦特定元件,包括BIOS、UEFI、驅動程式和應用程式等。

ShadowHammer攻擊背後的駭客將惡意程式更新器代管在華碩official liveupdate01s.asus[.]com及liveupdate01.asus[.]com的華碩伺服器上,由其推送後門程式到用戶電腦上。

研究人員根據蒐集到的資訊估計,有超過5.7萬名卡巴斯基用戶已下載了被注入後門程式的ASUS Live Update。實際受害人數則無法計算,推算全球可能有超過百萬台PC用戶受影響,分佈地區以俄羅斯、法國及德國居前三大。

不過安全公司相信,這樁攻擊其實是以一小群人為目標的精準攻擊。攻擊者在後門程式中寫入一個MAC位址清單,以便辨識它真正的目標電腦。研究人員在200隻惡意程式中已清查600多個不重覆的MAC位址。卡巴斯基也提供了找到的MAC位址清單供使用者查詢。

ShadowHammer和2017年發生的ShadowPad頗為類似,後者作者Barium以散佈Winnti後門程式聞名,去年10月遭微軟起訴。但研究人員認為ShadowHammer比起ShadowPad及同年九月感染200多萬台電腦的CCleaner更高明、更複雜。而它之所以能潛伏5個月不為人知,部份原因可能是這個惡意程式更新器經由合法憑證簽章之故。

研究人員已在今年1月31 日通報華碩,支援後者的調查。


Advertisement

更多 iThome相關內容