Niet geslaagd , hoe beveiligingsonderzoekers van computerplatforms opnieuw de ASUS-cloudservice ontdekten achterdeurtjes. Deze keer waren de WebStorage-service en -software gecompromitteerd. Met zijn hulp installeerde de hackergroep BlackTech Group de Plead-malware op de computers van de slachtoffers. Preciezer gezegd beschouwt de Japanse cybersecurityspecialist Trend Micro de Plead-software als een hulpmiddel van de BlackTech-groep, waarmee het aanvallers met een zekere mate van nauwkeurigheid kan identificeren. Laten we hieraan toevoegen dat de BlackTech-groep gespecialiseerd is in cyberspionage, en dat het voorwerp van haar aandacht overheidsinstellingen en bedrijven in Zuidoost-Azië zijn. De situatie met de recente hack van ASUS WebStorage hield verband met de activiteiten van de groep in Taiwan.
Pleitactiviteit in het ASUS WebStorage-programma werd eind april ontdekt door Eset-specialisten. Voorheen verspreidde de BlackTech-groep Plead met behulp van phishing-aanvallen via e-mail en routers met openlijke kwetsbaarheden. De laatste aanval was ongebruikelijk. Hackers hebben Plead in het programma ASUS Webstorage Upate.exe geplaatst, de eigen software-updatetool van het bedrijf. Vervolgens werd de achterdeur ook geactiveerd door het eigen en vertrouwde ASUS WebStorage-programma.
Volgens experts konden hackers een achterdeur in ASUS-hulpprogramma's introduceren vanwege onvoldoende beveiliging in het HTTP-protocol met behulp van de zogenaamde man-in-the-middle-aanval. Een verzoek om bestanden van ASUS-services bij te werken en over te dragen via HTTP kan worden onderschept, en in plaats van vertrouwde software worden geïnfecteerde bestanden overgedragen naar het slachtoffer. Tegelijkertijd beschikt ASUS-software niet over mechanismen om de authenticiteit van gedownloade programma's te verifiëren voordat deze op de computer van het slachtoffer worden uitgevoerd. Het onderscheppen van updates is mogelijk op gecompromitteerde routers. Hiervoor is het voldoende dat beheerders de standaardinstellingen negeren. De meeste routers in het aangevallen netwerk zijn van dezelfde fabrikant en hebben in de fabriek ingestelde logins en wachtwoorden, waarvan de informatie geen goed bewaard geheim is.
De ASUS Cloud-service reageerde snel op de kwetsbaarheid en updatete de mechanismen op de updateserver. Het bedrijf raadt gebruikers echter aan hun eigen computers op virussen te controleren.
Bron: 3dnews.ru