ГЛ А ВНОЕ
НОВОС ТИ
В IT
применялись ASUS для подписы-
вания легитимных бинарных фай-
лов. После чего утилиты с встро-
енными троянцами подписыва-
лись легитимными сертифика-
тами и распространялись с офи-
циальных серверов обновлений
ASUS, что делало их практиче-
ски невидимыми для абсолютного
большинства защитных решений.
Хотя это и означает, что потенци-
ально каждый пользователь та-
кого ПО мог стать жертвой ата-
ки, реальной целью создате-
лей ShadowHammer было все-
го несколько сотен конкрет-
ных устройств. Как обнаружи-
ли исследователи «Лаборатории
Касперского», код каждого бэкдо-
ра содержал таблицу со списком
определенных MAC-адресов, то
есть уникальных идентификаци-
онных кодов, которые присваива-
ются сетевым картам, чтобы ком-
пьютер мог подсоединяться к се-
ти. После запуска на устройстве
жертвы зловред проверял, входит
ли этот MAC-адрес в список. Если
данное условие выполнялось, то
загружался следующий модуль
вредоносного кода. В противном
случае эта утилита не проявля-
ла никакой дополнительной сете-
вой активности, и именно поэтому
атака так долго оставалась необ-
наруженной. В общей сложности
KASPERSKYLAB ОБНАРУЖИЛА
ВЗЛОМ ASUS LIVE UPDATE
«Лаборатория Касперского» обна-
ружила атаку ShadowHammer на
пользователей ASUS Live Update,
утилиты для обновления драй-
веров. С июня по ноябрь 2018 го-
да атакующие распространя-
ли бэкдор, который поставил
под угрозу безопасность более
миллиона пользователей, о чем
компания сообщила Upgrade
в пресс-релизе.
Создатели ShadowHammer ис-
пользовали ASUS Live Update как
первоначальный источник зара-
жения. Эта утилита предустанав-
ливается на большинстве новых
компьютеров ASUS с целью авто-
матического обновления систем-
ного ПО (включая BIOS, UEFI, при-
ложения и драйверы). Атакующие
внедряли вредоносный код в мо-
дифицированные старые версии
ПО ASUS, используя украденные
цифровые сертификаты, которые
4