Сервер компании ASUS на протяжении нескольких месяцев распространял модифицированную злоумышленниками утилиту обновления компьютера, содержащую вредоносный код, сообщается в пресс-релизе «Лаборатории Касперского», специалисты которой обнаружили подмену. Модифицированная версия была подписана сертификатом ASUS, а ее размер полностью совпадал с оригиналом. Специалисты выяснили, что целью злоумышленников были 600 устройств, адреса которых были обнаружены в коде программы.
Как правило, злоумышленники используют для распространения вредоносного программного обеспечения сторонние сервисы. Кроме того, зачастую они пользуются методом фишинга, при котором поддельный сервис имитирует настоящий и тем самым повышает доверие пользователя. Однако в некоторых случаях, помимо создания похожих внешне сайтов злоумышленникам удается воспользоваться техническими методами, которые могут обмануть не только пользователя, но и системы безопасности. К примеру, они могут получить доступ к механизму подписи программного обеспечения и подписать свою программу легитимным сертификатом.
Специалисты «Лаборатории Касперского» обнаружили в январе 2019 года, что сервер обновлений ASUS на протяжении примерно полугода (с июня по ноябрь 2018 года) раздавал модифицированную злоумышленниками, но подписанную сертификатом компании утилиту ASUS Live Update, используемую для обновления компьютеров ASUS. Motherboard отмечает со ссылкой на представителя «Лаборатории Касперского», что злоумышленники использовали версию утилиты 2015 года, в которую был добавлен вредоносный код. Специалист отметил, что, по-видимому, у злоумышленников был доступ к серверу подписи программного обеспечения ASUS. Модифицированная утилита была установлена на компьютерах как минимум 57 тысяч пользователей программ «Лаборатории Касперского» и 13 тысяч пользователей программ Symantec.
Самая интересная часть выводов расследования специалистов заключается в том, что, судя по всему, целью авторов трояна были не обычные пользователи. Дело в том, что при анализе кода программы исследователи обнаружили в нем 600 хэшей MAC-адресов сетевых карт компьютеров. При запуске программа сверяет MAC-адрес компьютера со списком и, если находит его в списке, приступает к скачиванию другой вредоносной программы, правда, уже не с официального сервера ASUS, а с имитирующего его.
«Лаборатория Касперского» отмечает, что связалась с ASUS через два дня после обнаружения проблемы. Компания перестала использовать два использованных в атаке сертификата для подписи, но до сих пор не аннулировала их.
Ранее для распространения троянов уже использовали другие необычные пути. К примеру, в прошлом году исследователи в области информационной безопасности обнаружили вредоносную программу, которая принимает команды, скрытые в мемах, опубликованных в твиттере. После получения команд она собирает данные в соответствии с ними и отсылает их на сервер, адрес которого также узнает из промежуточного и публично доступного сервиса.
Григорий Копиев