华硕一直在不知不觉地推动恶意软件感染用户的更新,这些用户使黑客可以通过后门访问他们的硬件。这些恶意攻击者设法感染了华硕用于向其设备推出软件更新的服务器。这是卡巴斯基实验室1月份首次发现的一种复杂的供应链攻击,被称为“ShadowHammer”。
ShadowHammer是一种木马类型的恶意软件,它看起来是合法的,因为它有一个签名证书,并托管在处理更新的华硕服务器上。它长时间未被发现,因为分子确保文件大小与原来的华硕相同。
卡巴斯基表示,袭击发生在2018年6月至11月之间,根据其遥测,它影响了大量用户。
华硕实时更新是一个预装在大多数华硕计算机上的实用程序,用于自动更新某些组件,驱动程序和应用程序。华硕是全球最大的个人电脑供应商之一,因此,对于可能希望利用其用户群的APT集团来说,这是一个极具吸引力的目标。
“基于我们的统计数据,超过57,000名卡巴斯基用户已经在某个时间点下载并安装了华硕Live Update的后门版本,”卡巴斯基表示。“我们无法仅根据我们的数据来计算受影响用户的总数;但是,我们估计问题的实际规模要大得多,并且可能影响全球超过一百万用户。”
奇怪的是,ShadowHammer背后的网络分子对大量被感染的计算机不感兴趣,因为他们似乎只针对600个特定的MAC地址,哈希被硬编码到不同版本的实用程序中。
卡巴斯基表示这是一个更大的供应链事件,而不是CCleaner的恶意软件侵扰。该优化应用程序于2017年发布,当时它的新版本被用于向数百万用户传播恶意软件。
IT Pro已与华硕征求意见。