Asus更新工具被後門程式調包 供應鏈攻擊歷來最大規模之一

全靠產品的新技術協助,卡巴斯基實驗室日前偵測到歷來最大規模之一的供應鏈攻擊!全球 5 大 PC 供應商 Asus (華碩) 的桌面及手提電腦更新工具,被黑客調包為後門程式,再透過其官方渠道供用戶下載。

擁有華碩簽發證書
被木馬程式化的工具擁有由華碩簽發,專門用作更新的合法數碼證書,令這個後門程式能夠長時間不被發現,黑客甚至令惡意工具的檔案大小與原來的模案一模一樣。根據卡巴斯基實驗室的統具,超過 5.7 萬名產品用戶被安裝後門工具,並估計受影響人數高達 100 萬人,然而幕後黑手並非對所有人都有興趣,他們只針對其中 600 個 MAC 地址,而且每個都有不同版本的工具。

事件中同時發現有其他 3 家供應商被相同技術的軟件攻擊,卡巴斯基實驗室已經通知華碩和其他公司,而卡巴斯基實驗室的產品能夠偵測和攔截有關工具,不過仍然建議用戶更新 Asus Live Update Utility,現時調查仍然持續。

研究人員認為這次供應鏈公司十分精密,與過去的 Shadowpad 和 CCleaner 事件同級甚至超過,事件一直未被發現主要是因為工具持有合法的證書,並放置在官方的更新伺服器上。受影響國家頭三位為俄羅斯、德國和法國,但這數字受卡巴斯基產品用戶分佈所影響,實際上華碩產品用戶偏佈全球,受害者分佈應該從這方面考慮。

自行檢查有否成為針對的目標
卡巴斯基實驗室的研究人員提供兩種方法,讓用戶自行檢查是否不幸成為被針對攻擊的目標,其中一個方法是 網上檢定 MAC 地址,另一個方法是 下載加壓工具 (.exe) 進行 MAC 地址對比。