Operațiunea ShadowHammer

Un milion de calculatoare personale de la Asus ar putea să fi descărcat şi instalat programe spyware de la serverele de actualizare ale producătorului de calculatoare, afirmă Kaspersky Lab.
Cineva a reușit să modifice o copie a Asus Live Update Utility, găzduit pe sistemele ale producătorului taiwanez, și să semneze utilizând certificatul de securitate al companiei, menținând chiar și lungimea fișierului la fel ca şi versiunea legitimă, pentru a face totul să pară legitim (atacul lanțului de aprovizionare).

Utilitatea de actualizare este livrată cu fiecare calculator și actualizează în mod curent firmware-ul plăcii de bază și software-ul aferent cu toate actualizările disponibile de la Asus.
Motivul pentru care a rămas nedetectat atât de mult se datorează parțial faptului că actualizatorii cu troyan au fost semnate cu certificate legitime (de exemplu: "ASUSTeK Computer Inc."). Actualizatorii rău-intenționați au fost găzduiți pe serverele actuale ASUS liveupdate01s.asus[.]com și liveupdate01.asus[.]com.

Când utlitate de update se connectează la serverele Asus pentru cele mai recente actualizări, utilitarul va descarca și instala o versiune cu troyan a Asus Live Update Utility
Versiunea suspectă a fost oferită între iunie și noiembrie 2018, potrivit Kaspersky

Recomandări tehnice:

• Asigurați-vă că soluția dvs. antivirus este actualizată
Utilizați Instrumentul de verificare pentru a verifica starea infectării:
• Instrumentul online: https://shadowhammer.kaspersky.com/
• Instrumentul offline: https://kas.pr/shadowhammer

Orange Moldova CERT recomandă lansarea instrumentului Kaspersky pentru a determina dacă adresa MAC a calculatorului ASUS a fost afectată sau nu.