No va passar , com els investigadors de seguretat de la plataforma informàtica van tornar a atrapar el servei al núvol d'ASUS portes del darrere. Aquesta vegada, el servei i el programari WebStorage es van veure compromesos. Amb la seva ajuda, el grup de pirates informàtics BlackTech Group va instal·lar programari maliciós Plead als ordinadors de les víctimes. Més precisament, l'especialista japonès en ciberseguretat Trend Micro considera que el programari Plead és una eina del grup BlackTech, que li permet identificar els atacants amb un cert grau de precisió. Afegim que el grup BlackTech està especialitzat en ciberespionatge, i els objecte de la seva atenció són les institucions governamentals i les empreses del sud-est asiàtic. La situació amb el recent pirateig d'ASUS WebStorage estava relacionada amb les activitats del grup a Taiwan.
L'activitat Plead al programa ASUS WebStorage va ser descoberta pels especialistes d'Eset a finals d'abril. Anteriorment, el grup BlackTech distribuïa Plead mitjançant atacs de pesca mitjançant correu electrònic i encaminadors amb vulnerabilitats obertes. L'últim atac va ser inusual. Els pirates informàtics van inserir Plead al programa ASUS Webstorage Upate.exe, que és l'eina d'actualització de programari propietària de l'empresa. A continuació, la porta del darrere també va ser activada pel programa propietari i de confiança ASUS WebStorage.
Segons els experts, els pirates informàtics van poder introduir una porta del darrere a les utilitats d'ASUS a causa de la seguretat insuficient en el protocol HTTP mitjançant l'anomenat atac man-in-the-middle. Es pot interceptar una sol·licitud per actualitzar i transferir fitxers des dels serveis d'ASUS mitjançant HTTP i, en lloc de programari de confiança, els fitxers infectats es transfereixen a la víctima. Al mateix temps, el programari ASUS no disposa de mecanismes per verificar l'autenticitat dels programes descarregats abans de l'execució a l'ordinador de la víctima. La intercepció d'actualitzacions és possible en encaminadors compromesos. Per això, n'hi ha prou que els administradors descuidin la configuració predeterminada. La majoria dels encaminadors de la xarxa atacada són del mateix fabricant amb inicis de sessió i contrasenyes de fàbrica, la informació sobre la qual no és un secret ben guardat.
El servei ASUS Cloud va respondre ràpidament a la vulnerabilitat i va actualitzar els mecanismes del servidor d'actualització. Tanmateix, l'empresa recomana que els usuaris comprovin els seus propis ordinadors per detectar virus.
Font: 3dnews.ru