Asus werd eind vorig jaar het slachtoffer van een gerichte aanval, waarbij hackers het updatesysteem van de fabrikant misbruikten om malware te verspreiden. Volgens Kaspersky pushte het eigen updatesysteem van Asus zo malafide software naar bijna een miljoen laptops. Asus minimaliseert die cijfers.
Gisteren kwam aan het licht dat tussen juni en november van 2018 hackers er in slaagden om het updatesysteem van Asus te misbruiken om hun malware te verspreiden. De Asus LiveUpdate-tool, waarmee de fabrikant updates van de eigen software uitrolt naar verkochte computers, werd zo ingezet als vector om geavanceerde malafide software af te leveren. De hackers drongen daartoe binnen bij Asus zelf, waar ze een oude versie van de updatetool vermomden als de nieuwste versie, en die vervolgens uitrustten met een trojan. De malware voldeed aan alle veiligheidsparameters, was ondertekend door Asus zelf, en werd zo via het updatekanaal naar nietsvermoedende klanten gepushed.
Kaspersky ontdekte het probleem in januari toen het zijn beveiligingstools betere zichtbaarheid in supply chain-aanvallen gaf. Symantec bevestigt de bevindingen intussen. Over de precieze cijfers bestaat twijfel: Kaspersky denkt dat er bijna een miljoen slachtoffers zijn, Symantec kan enkele tienduizenden bevestigen. Asus zelf spreekt in een reactie nu van enkele honderden getroffenen. Dat lijkt ons gezien het type aanval en het onderzoek van de twee onafhankelijke beveiligingsspecialisten niet realistisch. Wie een Asus-systeem met LiveUpdate had, kon immers moeilijk ontsnappen aan de campagne.
Doekgerichte APT-aanval
De aanval zelf was niet bedoeld om op grote schaal slachtoffers te maken. De malware wilde heel doelgericht ongeveer 600 specifieke laptops treffen. De mac-adressen van die doelwitten zaten in de malware ingebakken. Waarom de laptops werden uitgekozen, en hoe succesvol de aanval was, is niet duidelijk. Die beperkte focus betekent niet dat de trojan in kwestie net veel breder werd uitgerold.
Asus zelf geeft aan getroffen te zijn door een heel geavanceerde APT-aanval. De fabrikant claimt actief contact op te nemen met de getroffen gebruikers, en dan specifiek de doelwitten, om er mee voor te zorgen dat het probleem verholpen raakt. Vermoedeljik gaat het hier om een selecte subgroep van slachtoffers. Intussen rolde Asus een nieuwe versie van de update-tool uit en zorgde het voor nieuwe beveiligingsmechanismen die een gelijkaardig misbruik in de toekomst moeten voorkomen.
Bloatware
Asus staat er net als veel fabrikanten op om laptops te voorzien van eigen software. In somige gevallen is die nuttig, maar vaak biedt dergelijke software geen grote meerwaarde. Dat de programma’s vooraf geïnstalleerd zijn, maakt dat ze in onze ogen vaker wel dan niet als bloatware omschreven kunnen worden. Heb je een Asus-laptop, dan kan je je er ofwel van vergewissen dat je de allerlaatste versie van de software hebt, maar je kan vermoedelijk ook de hele suite van je systeem kieperen.
Het is niet de eerste keer dat de bloatware van laptopfabrikanten misbruikt wordt voor dubieuze doeleinden. Denk maar aan het Superfish-adware-probleem bij Lenovo. Neem je een nieuw systeem in gebruik, dan is het uit beveiligingsoverwegingen zeker geen slecht idee om alle voorgeïnstalleerde apps die je niet interesseren naar de prullenmand te verwijzen.
Gerelateerd: Spionage door natiestaten: moet jouw bedrijf wakker liggen van APT-aanvallen?