Не пройшло і , як дослідники з безпеки обчислювальних платформ знову викрили хмарний сервіс ASUS бекдорів. Цього разу скомпрометованим виявився сервіс та програмне забезпечення WebStorage. З його допомогою хакерська група BlackTech Group встановлювала на комп'ютери жертв шкідливого програмного забезпечення Plead. Точніше, японський фахівець з кібербезпеки компанія Trend Micro вважає ПЗ Plead інструментом групи BlackTech, що дозволяє з певним ступенем точності визначити зловмисників. Додамо, група BlackTech спеціалізується на кібершпигунстві, а об'єктами її уваги вважаються державні інститути та компанії в Південно-Східній Азії. Ситуація зі свіжим зломом ASUS WebStorage стосувалася діяльності групи на Тайвані.
Активність Plead у програмі ASUS WebStorage наприкінці квітня виявили фахівці компанії Eset. Раніше група BlackTech поширювала Plead за допомогою фішингових атак через розсилку електронною поштою та через маршрутизатори з відкритими вразливістю. Остання атака виявилася незвичайною. Хакери впровадили Plead у програму ASUS Webstorage Upate.exe, яка є фірмовим інструментом компанії для оновлення програмного забезпечення. Потім бекдор активувався також фірмовою та довіреною програмою ASUS WebStorage.
На думку фахівців, впровадити бекдор в утиліти ASUS хакери змогли завдяки недостатньому захисту в протоколі HTTP за допомогою так званої атаки "людина посередині" (man-in-the-middle). Запит на оновлення та передачу файлів із сервісів ASUS по HTTP може бути перехоплений, і замість довіреного ПЗ жертві передаються заражені файли. У той же час у ASUS відсутні механізми перевірки справжності завантажених програм перед виконанням на комп'ютері жертви. Перехоплення оновлення можливе на скомпрометованих маршрутизаторах. Для цього достатньо недбалого ставлення адміністраторів до установок за умовчанням. Більшість маршрутизаторів в атакованій мережі від одного виробника з логінами та паролями заводської установки, інформація про які не є таємницею за сімома печатками.
Сервіс ASUS Cloud оперативно відреагував на вразливість та оновив механізми на сервері оновлень. Проте компанія рекомендує користувачам перевірити власні комп'ютери на наявність вірусів.
Джерело: 3dnews.ru