Ismét ASUS szoftver frissítést használtak malware terjesztésre

 

Az ESET szerint a BlackTech nevű kiberkémkedési csoport feltételezetten MitM (man-in-the-middle) támadásokat hajtott végre az ASUS WebStorage frissítési folyamata ellen, abból a célból, hogy backdoort (Plead) juttasson a célkeresztben álló ─ többségében kelet-ázsiai ─ rendszerekre. Jelenleg  nem ismert, hogy a támadók pontosan milyen módszert alkalmaztak, azonban több forgatókönyv is elképzelhető: az egyik elképzelés szerint az ellátási láncot sikerült kompromittálniuk, a másik lehetséges szcenárió egy MitM támadás. Az ESET szerint ez utóbbi támadási mód a valószínűbb, eszerint a támadók képesek voltak az ASUS WebStorage HTTP kapcsolaton keresztül megvalósuló frissítési folyamatába ékelődni és a frissítés egy káros kódot tartalmazó, módosított verzióját továbbítani az áldozatoknak. Ezt a teóriát több tényező is erősíti, a Plead malware-ről ismert, hogy képes a routereket C&C szerverként használni, a támadott infrastruktúrákon található legtöbb útválasztót pedig ugyanazon cég gyártotta, és az admin felületük elérhető az internet felől. Mindezek mellett további erős érv, hogy a letöltött frissítések hitelessége nem kerül ellenőrzésre. A biztonsági cég az eset kapcsán felhívja a fejlesztők figyelmét arra, hogy fordítsanak nagyobb figyelmet a frissítési mechanizmusok megfelelő kidolgozására.

(welivesecurity.com)