今年的臺灣資安大會剛落幕,在3月25日,竟傳出個人電腦廠商華碩的軟體更新遭入侵的事件,引發全球關注。

這項攻擊行動是由資安廠商Kaspersky所發現,發生的時間是在2018年的6月到11月,而關鍵就在於,該公司的軟體更新公用工具ASUS Live Update Utility,已經遭到歹徒濫用。而根據Kaspersky的統計,總共有多達5.7萬名以上的用戶,已經下載與安裝藏有後門程式的ASUS Live Update Utility。

而在這家資安廠商收集的200份以上的惡意程式樣本,他們觀察到裡面竟有一份寫死在程式碼當中的MAC位址清單,當中包含了600筆以上的不重複MAC位址(Media Access Control Address,也就是電腦使用的網路介面位址)。

而有了這樣的資料,其實是可以辨識出對方想要針對的目標所在電腦。因為,每一筆MAC位址,就是一臺連網設備使用的網路介面位址,若有這樣的資料,再與所有網路流量的資料進行比對,我們是有機會找出電腦的網路連線位置、所在地區,甚至是身分。

然而,就算是全世界最大的網路服務供應商,也不可能擁有全球網際網路的流量資料,因此,我們無從得知這6百多筆MAC位址的電腦到底在哪裡,目前只從MAC位址的前3碼所代表的網路介面製造商識別碼,來判斷它們的共通點,或是用戶自行查詢比對,確認自己是否為主要攻擊目標,但目前尚未看到有人公開表示這樣的狀態,所以並無法有進一步受害消息。

根據中國資安研究團隊360威脅情報中心在推特揭露的消息,我們知道當中有268臺連網設備採用華碩自家的網路卡,占比為44.97%;用英特爾(Intel)網路卡的有157臺,占26.34%;使用海華科技(AzureWave)網卡的有101臺,占16.95%,此外,這裡面的MAC位址,還有一些是光寶科技(LiteOn)、鴻海精密(Hon Hai Precision)等廠商生產的網路介面。

讓我們回頭看看此次攻擊的關鍵──華碩的用戶系統更新機制。基本上,ASUS Live Update是預載在華碩個人電腦的更新軟體,可用來更新主機板的BIOS、UEFI,以及各種系統驅動程式、其他華碩提供的應用工具軟體,絕大多數的主機板業者、個人電腦廠商,也都設有類似的更新機制。然而,這樣的共通特性與遠端連結、軟體派送能力,一旦整體的安全性有了管理上的缺口,讓駭客有機可乘,所能影響的範圍將會非常廣泛。

類似這樣的狀況,讓人想到6年前韓國發生的史上最大APT攻擊事件。根據調查,駭客先入侵企業內部的病毒碼更新主機,再利用更新病毒檔的正常管道,將惡意程式傳送到企業環境當中的每一臺個人電腦或伺服器。當時的災情相當慘重,有韓國KBS電視臺等6家企業受害, 48,700臺以上的電腦、伺服器與ATM伺服器,發生接連當機的狀況,電腦系統也因為硬碟開機磁區損毀,無法重新上線服務,有多達數千臺ATM故障,而網路銀行與信用卡服務也受到影響。

而在2019年發生的此次事件當中,雖然目前尚未看到有類似規模的災情,但所有的企業、組織都不應該大意,除了華碩本身要做緊急應變之外,我們也應該要積極清查本身採用該公司電腦的狀況,並且確認MAC位址不在這批清單上。

以更宏觀的角度來看,我們對於所有軟體、韌體的更新機制,都必須謹慎以對,強調要求所有供應商需做好管控,而對於自行開發的軟體、韌體的更新流程管控,也務必多加小心,不能再像過去那樣,僅重視開發階段與系統上線階段的安全,對於應用程式新版的部署程序、認證機制,應該要重新徹底審視,嚴陣以待,絕不能讓這個共通環節失守,反而成為駭客快速染指所有列管連網設備的任意門。

作者簡介


Advertisement

更多 iThome相關內容