Asus heeft vandaag (26 maart) eindelijk een verklaring uitgegeven met betrekking tot het hacken van zijn eigen firmware-updateservers, meer dan 24 uur nadat Vice Motherboard en Kaspersky Lab het probleem openbaar hadden gemaakt en bijna twee maanden nadat Kaspersky Lab Asus op de hoogte had gesteld dat zijn servers waren gehackt .
Krediet: Roman Arbuzov/Shutterstock
"Een klein aantal apparaten is geïmplanteerd met kwaadaardige code door een geavanceerde aanval op onze Live Update-servers in een poging een zeer kleine en specifieke gebruikersgroep aan te vallen", aldus een bedrijfsverklaring. "De klantenservice van Asus heeft contact opgenomen met getroffen gebruikers en hulp geboden om ervoor te zorgen dat de beveiligingsrisico's worden weggenomen."
Ten minste 70.000 Asus-apparaten zijn geïnfecteerd met de beschadigde Asus-firmware, zoals gedocumenteerd door Kaspersky Lab en Symantec, die de cijfers hebben verkregen van pc's met de eigen antivirussoftware van die bedrijven. Onderzoekers van Kaspersky Lab schatten dat wereldwijd een miljoen Asus-computers zijn geïnfecteerd, wat aantoonbaar geen klein aantal is.
Asus zei in zijn persbericht dat het stappen heeft ondernomen om de beveiliging van het updateproces te verbeteren, maar het maakte geen melding van hoe de aanvallers - vermoedelijk een Chinees sprekende hackerploeg met banden met de Chinese overheid - erin slaagden om inbreken op de servers van Asus en digitale handtekeningcertificaten van Asus stelen die de malware als legitiem valideerden.
"Asus heeft ook een fix geïmplementeerd in de nieuwste versie (ver. 3.6.8) van de Live Update-software, meerdere beveiligingsverificatiemechanismen geïntroduceerd om kwaadwillende manipulatie in de vorm van software-updates of andere middelen te voorkomen, en een verbeterde eind- to-end encryptiemechanisme", aldus de persverklaring. "Tegelijkertijd hebben we ook onze server-to-end-user software-architectuur geüpdatet en versterkt om soortgelijke aanvallen in de toekomst te voorkomen."
Tussen juni en november 2022-2023 werd de malware rechtstreeks vanuit Asus' eigen firmware-updateservices aan Asus-computers wereldwijd geleverd. De malware creëert een "achterdeur" waardoor meer malware kan worden gedownload en geïnstalleerd zonder toestemming van de gebruiker.
De malware sluimert echter op bijna alle systemen en wordt alleen geactiveerd op specifiek gerichte individuele pc's waarvan de MAC-adressen - unieke identifiers voor elke netwerkpoort - overeenkomen met die op hardgecodeerde lijsten die rechtstreeks in de malware zijn ingebouwd.
Onderzoekers van Kaspersky identificeerden ongeveer 600 MAC-adressen op de hitlijsten, wat inderdaad een "kleine gebruikersgroep" is. Maar de details zijn nog steeds onduidelijk, omdat we niet weten op wie de malware zich precies richt, of hoe de aanvallers op de updateservers van Asus zijn gekomen.
Asus heeft ook een "beveiligingsdiagnosetool om te controleren op getroffen systemen" uitgebracht die kan worden gedownload op https://dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip.
Dat is een aanvulling op een Kaspersky Lab-tool die controleert op de aanwezigheid van malware, en een Kaspersky Lab-webpagina waar u kunt controleren of een van de MAC-adressen van uw Asus-pc op de hitlijst van de malware staat.
Onderzoekers van Kaspersky zeiden dat ze Asus op 31 januari op de hoogte hadden gebracht van het probleem, maar vertelden Kim Zetter van Motherboard dat Asus aanvankelijk ontkende dat zijn servers waren gehackt.