Nie przeszło , jak badacze bezpieczeństwa platform obliczeniowych ponownie przyłapali usługę chmurową ASUS tylnymi drzwiami. Tym razem bezpieczeństwo usługi i oprogramowania WebStorage zostało naruszone. Z jego pomocą grupa hakerska BlackTech Group zainstalowała złośliwe oprogramowanie Plead na komputerach ofiar. Mówiąc dokładniej, japoński specjalista ds. cyberbezpieczeństwa Trend Micro uważa oprogramowanie Plead za narzędzie grupy BlackTech, które pozwala z pewną dokładnością identyfikować atakujących. Dodajmy, że grupa BlackTech specjalizuje się w cyberszpiegostwie, a obiektem jej uwagi są instytucje rządowe i firmy z Azji Południowo-Wschodniej. Sytuacja z niedawnym włamaniem do ASUS WebStorage była związana z działalnością grupy na Tajwanie.
Pod koniec kwietnia specjaliści firmy Eset odkryli aktywność Plead w programie ASUS WebStorage. Wcześniej grupa BlackTech rozpowszechniała Plead za pomocą ataków phishingowych za pośrednictwem poczty elektronicznej i routerów z otwartymi lukami w zabezpieczeniach. Ostatni atak był niezwykły. Hakerzy umieścili Plead w programie ASUS Webstorage Upate.exe, będącym zastrzeżonym narzędziem firmy do aktualizacji oprogramowania. Wtedy backdoora aktywował także autorski i zaufany program ASUS WebStorage.
Zdaniem ekspertów hakerom udało się wprowadzić backdoora do narzędzi ASUS ze względu na niewystarczające bezpieczeństwo protokołu HTTP, stosując tzw. atak man-in-the-middle. Żądanie aktualizacji i przesyłania plików z usług ASUS za pośrednictwem protokołu HTTP może zostać przechwycone, a zamiast zaufanego oprogramowania zainfekowane pliki zostaną przesłane ofierze. Jednocześnie oprogramowanie ASUS nie posiada mechanizmów sprawdzających autentyczność pobranych programów przed uruchomieniem na komputerze ofiary. Na zaatakowanych routerach możliwe jest przechwycenie aktualizacji. W tym celu wystarczy, że administratorzy zaniedbają ustawienia domyślne. Większość routerów w zaatakowanej sieci pochodzi od tego samego producenta, z fabrycznie ustawionymi loginami i hasłami, o których informacje nie są ściśle strzeżoną tajemnicą.
Usługa ASUS Cloud szybko zareagowała na lukę i zaktualizowała mechanizmy na serwerze aktualizacji. Firma zaleca jednak, aby użytkownicy sprawdzali własne komputery pod kątem wirusów.
Źródło: 3dnews.ru