Hekerji z Asusovimi certifikati širili viruse

Raziskovalci iz ruskega podjetja Kaspersky Lab poročajo, da so neznani hekerji vsaj pet mesecev uporabnikom Asusovih računalnikov podtikali viruse. Januarja letos so ugotovili, da je okrog pol milijona računalnikov Asus z nameščenim Windows prejelo malware. Tudi Symantec je potrdil obstoj virusa in način širjenja, medtem ko Asus navedbe zanika.

Virus je sicer ciljal 600 točno določenih sistemov, ki jih je spoznal po naslovih MAC, ki jih je imel zapisane v kodi. Hekerji so pridobili dostop do dela Asusove infrastrukture za izdajo in podpis posodobitev. Virus, ki so ga poimenovali Shadowhammer, je izkoriščal ASUS Live Update. Večina žrtev je bila v Rusiji, Nemčiji in Franciji, a ima tam Kaspersky Lab tudi največ strank, zato vzorec morda ni reprezentativen.

Ker je imel virus Asusov podpis, so številni uporabniki potrdili namestitev "posodobitve". Gre za tako imenovan napad na prodajni kanal (supply chain attack), o katerem govorimo, če se virusi pritihotapijo na nove računalnike ali v uradno verigo za nameščanje posodobitev. Večinoma se sicer zgodi prvo, ni pa to nujno. To pot se je drugo, in sicer so pisci virusa do sredine leta 2018 uporabljali en Asusov certifikat, po poteku pa še drugega.

To ni prvi primer, ko se je kak virus širil s podpisanimi certifikati. Spomnimo, da je Stuxnetov naslednik Flame uporabljal Microsoftove certifikate. Pred dvema letoma pa se je podobno zgodilo CCleanerju, ki je imel v uradni verziji mesec dni nevede vgrajenega trojanskega konja. Tudi notPetya se je po Ukrajini širila pod pretvezo posodobitve računovodskega programa.

Ali ste med žrtvami, lahko preverite na Kasperskyjevi strani. Več podrobnosti o delovanju in namenu virusa še sledi, saj preiskava incidenta še traja, Asus pa še ne komentira dogodka.