Asus ha finalmente rilasciato una dichiarazione oggi (26 marzo) in merito all'hacking dei propri server di aggiornamento del firmware, più di 24 ore dopo che Vice Motherboard e Kaspersky Lab hanno divulgato pubblicamente il problema e quasi due mesi dopo che Kaspersky Lab ha notificato ad Asus che i suoi server erano stati violati .
Credito: Roman Arbusov/Shutterstock
"Un piccolo numero di dispositivi è stato impiantato con codice dannoso attraverso un attacco sofisticato sui nostri server Live Update nel tentativo di prendere di mira un gruppo di utenti molto piccolo e specifico", ha affermato una dichiarazione dell'azienda. "Il servizio clienti Asus ha contattato gli utenti interessati e fornito assistenza per garantire che i rischi per la sicurezza vengano rimossi".
Almeno 70.000 dispositivi Asus sono stati infettati dal firmware Asus corrotto, come documentato da Kaspersky Lab e Symantec, che ha ottenuto i numeri dai PC che eseguono il software antivirus di quelle società. I ricercatori di Kaspersky Lab stimano che un milione di computer Asus in tutto il mondo potrebbero essere stati infettati, un numero probabilmente non piccolo.
Asus ha affermato nel suo comunicato stampa di aver adottato misure per rafforzare la sicurezza del processo di aggiornamento, ma non ha fatto menzione di come gli aggressori - ritenuti una squadra di hacker di lingua cinese con legami con il governo cinese - siano riusciti a irrompere nei server Asus e rubare i certificati di firma digitale Asus che hanno convalidato il malware come legittimo.
"Asus ha anche implementato una correzione nell'ultima versione (ver. 3.6.8) del software Live Update, ha introdotto più meccanismi di verifica della sicurezza per prevenire qualsiasi manipolazione dannosa sotto forma di aggiornamenti software o altri mezzi e ha implementato un fine avanzato- meccanismo di crittografia to-end", si legge nel comunicato. "Allo stesso tempo, abbiamo anche aggiornato e rafforzato la nostra architettura software server-to-end-user per impedire che attacchi simili si verifichino in futuro".
Tra giugno e novembre 2022-2023, il malware è stato distribuito ai computer Asus in tutto il mondo direttamente dai servizi di aggiornamento del firmware di Asus. Il malware crea una "backdoor" che consente di scaricare e installare più malware senza l'autorizzazione dell'utente.
Tuttavia, il malware è dormiente su quasi tutti i sistemi, attivandosi solo su singoli PC specificamente mirati i cui indirizzi MAC, identificatori univoci per ciascuna porta di rete, corrispondono a quelli negli elenchi codificati incorporati nel malware.
I ricercatori di Kaspersky hanno identificato circa 600 indirizzi MAC nelle liste dei risultati, che è davvero un "piccolo gruppo di utenti". Ma le specifiche non sono ancora chiare, poiché non sappiamo esattamente chi sia il bersaglio del malware o come gli aggressori siano entrati nei server di aggiornamento di Asus.
Asus ha anche rilasciato uno "strumento diagnostico di sicurezza per verificare la presenza di sistemi interessati" che può essere scaricato all'indirizzo https://dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip.
Ciò integra uno strumento Kaspersky Lab che verifica la presenza del malware e una pagina Web Kaspersky Lab in cui è possibile verificare se uno degli indirizzi MAC di rete del PC Asus si trova nell'elenco dei malware.
I ricercatori di Kaspersky hanno affermato di aver informato Asus del problema il 31 gennaio, ma hanno detto a Kim Zetter di Motherboard che Asus inizialmente aveva negato che i suoi server fossero stati violati.