Non è passato , come i ricercatori sulla sicurezza delle piattaforme informatiche hanno nuovamente catturato il servizio cloud ASUS backdoor. Questa volta il servizio e il software WebStorage sono stati compromessi. Con il suo aiuto il gruppo di hacker BlackTech Group ha installato il malware Plead sui computer delle vittime. Più precisamente, lo specialista giapponese della sicurezza informatica Trend Micro considera il software Plead uno strumento del gruppo BlackTech che gli consente di identificare gli aggressori con una certa precisione. Aggiungiamo che il gruppo BlackTech è specializzato nello spionaggio informatico e oggetto della sua attenzione sono istituzioni governative e aziende del sud-est asiatico. La situazione con il recente attacco informatico ad ASUS WebStorage era legata alle attività del gruppo a Taiwan.
L'attività di appello nel programma ASUS WebStorage è stata scoperta dagli specialisti Eset alla fine di aprile. In precedenza, il gruppo BlackTech distribuiva Plead utilizzando attacchi di phishing tramite e-mail e router con vulnerabilità aperte. L'ultimo attacco è stato insolito. Gli hacker hanno inserito Plead nel programma ASUS Webstorage Upate.exe, che è lo strumento di aggiornamento software proprietario dell'azienda. Quindi la backdoor è stata attivata anche dal programma proprietario e affidabile ASUS WebStorage.
Secondo gli esperti, gli hacker sono riusciti a introdurre una backdoor nelle utility ASUS a causa della sicurezza insufficiente del protocollo HTTP utilizzando il cosiddetto attacco man-in-the-middle. Una richiesta di aggiornamento e trasferimento di file dai servizi ASUS tramite HTTP può essere intercettata e, invece del software affidabile, i file infetti vengono trasferiti alla vittima. Allo stesso tempo, il software ASUS non dispone di meccanismi per verificare l’autenticità dei programmi scaricati prima dell’esecuzione sul computer della vittima. L'intercettazione degli aggiornamenti è possibile sui router compromessi. Per questo è sufficiente che gli amministratori trascurino le impostazioni predefinite. La maggior parte dei router nella rete attaccata appartengono allo stesso produttore con login e password preimpostati in fabbrica, le cui informazioni non sono un segreto gelosamente custodito.
Il servizio ASUS Cloud ha risposto rapidamente alla vulnerabilità e ha aggiornato i meccanismi sul server di aggiornamento. Tuttavia, l'azienda consiglia agli utenti di controllare la presenza di virus nei propri computer.
Fonte: 3dnews.ru