Bestod ikke , hvordan dataplattformsikkerhetsforskere igjen fanget ASUS skytjeneste inn bakdører. Denne gangen ble WebStorage-tjenesten og programvaren kompromittert. Med sin hjelp installerte hackergruppen BlackTech Group Plead malware på ofrenes datamaskiner. Mer presist anser den japanske cybersikkerhetsspesialisten Trend Micro at Plead-programvaren er et verktøy fra BlackTech-gruppen, som lar den identifisere angripere med en viss grad av nøyaktighet. La oss legge til at BlackTech-gruppen spesialiserer seg på cyberspionasje, og gjenstandene for oppmerksomheten er statlige institusjoner og selskaper i Sørøst-Asia. Situasjonen med det nylige hacket av ASUS WebStorage var relatert til gruppens aktiviteter i Taiwan.
Aktivitet i ASUS WebStorage-programmet ble oppdaget av Eset-spesialister i slutten av april. Tidligere distribuerte BlackTech-gruppen Plead ved bruk av phishing-angrep via e-post og rutere med åpne sårbarheter. Det siste angrepet var uvanlig. Hackere satte inn Plead i ASUS Webstorage Upate.exe-programmet, som er selskapets proprietære programvareoppdateringsverktøy. Da ble bakdøren også aktivert av det proprietære og pålitelige ASUS WebStorage-programmet.
Ifølge eksperter var hackere i stand til å introdusere en bakdør i ASUS-verktøy på grunn av utilstrekkelig sikkerhet i HTTP-protokollen ved å bruke det såkalte man-in-the-middle-angrepet. En forespørsel om å oppdatere og overføre filer fra ASUS-tjenester via HTTP kan bli fanget opp, og i stedet for pålitelig programvare, overføres infiserte filer til offeret. Samtidig har ASUS-programvaren ikke mekanismer for å verifisere ektheten til nedlastede programmer før kjøring på offerets datamaskin. Avlytting av oppdateringer er mulig på kompromitterte rutere. For dette er det nok for administratorer å neglisjere standardinnstillingene. De fleste av ruterne i det angrepne nettverket er fra samme produsent med fabrikkinnstilte pålogginger og passord, informasjon om dette er ikke en nøye bevoktet hemmelighet.
ASUS Cloud-tjenesten reagerte raskt på sårbarheten og oppdaterte mekanismene på oppdateringsserveren. Imidlertid anbefaler selskapet at brukere sjekker sine egne datamaskiner for virus.
Kilde: 3dnews.ru