Asus corrige brecha que distribuiu malware para milhares de PCs via atualização
500 mil computadores da Asus com Windows receberam backdoor através da ferramenta de atualização Live Update
500 mil computadores da Asus com Windows receberam backdoor através da ferramenta de atualização Live Update
Cerca de 500 mil computadores da Asus com Windows receberam um backdoor através da ferramenta de atualização Live Update: ele identificava se o PC tinha um endereço MAC específico e, em caso afirmativo, baixava malware para a máquina. A Asus atualizou o Live Update e implementou medidas de segurança para evitar que isso aconteça de novo.
Segundo a Kaspersky Lab, hackers colocaram um backdoor no instalador da ferramenta Live Update, que normalmente traz atualizações de drivers e firmware. Então, eles assinaram digitalmente o arquivo com um certificado válido da própria Asus, e invadiram o servidor da empresa que distribui o programa.
O backdoor verificava se o computador tinha um endereço MAC único; nesse caso, ele baixava malware de um servidor com endereço IP da Rússia. Não se sabe o que havia nesse software malicioso. A Kaspersky chamou isso de Operação ShadowHammer.
Segundo o Motherboard, o backdoor tinha uma lista de 600 endereços MAC específicos, e visava infectar apenas um pequeno número de vítimas. Ainda assim, pesquisadores da Kaspersky estimam que meio milhão de computadores com Windows receberam o backdoor entre junho e novembro. O Live Update é instalado em PCs da Asus por padrão.
A Symantec explica ao TechCrunch que este foi um ataque à cadeia de suprimentos. Acredita-se que os hackers tiveram acesso aos certificados da Asus através de desenvolvedores de software ou fornecedores de componentes que trabalham com a fabricante; trata-se de algo difícil de detectar.
A Asus também demorou em responder. A Kaspersky notificou a empresa em 31 de janeiro, e teve um encontro presencial em 14 de fevereiro. Desde então, ela não havia dado continuidade ao assunto, nem avisado os clientes sobre o ocorrido.
Nesta terça-feira (26), a Asus enfim se manifestou, dizendo que “um pequeno número de dispositivos” recebeu o backdoor através de um ataque sofisticado nos servidores do Live Update. Ela sugere que isso se trata de uma APT (Ameaça Persistente Avançada), ou seja, um ataque feitos por nações que “miram certas organizações ou entidades internacionais, em vez de consumidores”.
A Asus atualizou o Live Update (versão 3.6.8) para introduzir “vários mecanismos de verificação de segurança” no intuito de evitar adulterações no futuro, além de implementar um mecanismo de criptografia ponta-a-ponta.
Há ainda uma ferramenta de diagnóstico para verificar se seu PC foi infectado; caso ele seja da Asus, basta fazer o download neste link. A empresa diz que está entrando em contato com os usuários afetados; e que atualizou seus servidores para impedir que ataques semelhantes ocorram no futuro.
Isto lembra o que aconteceu com o CCleaner em 2017: uma versão hackeada foi distribuída por semanas, até que pesquisadores de segurança descobriram o backdoor. Neste caso, o ataque mirava em cerca de 20 empresas de tecnologia, incluindo a Samsung, Google, Intel e Microsoft.
Com informações: TechCrunch, Engadget.