华硕传更新软件遭到劫取 安全出现严重问题

卡巴斯基实验室指出，华硕 Live Update 服务器遭到破解，并且被黑客武器化，受害者可能有数十万规模。此事在去年就已开始，于今年 1 月被发现，不过华硕目前似乎还没有向用户告知相关讯息。据卡巴斯基实验室的研究人员表示，黑客透过华硕官方的服务器在用户的计算器上安装后门，且使用的是合法的华硕数字签证，使其看起来像真的软件更新。在被发现之前，此攻击可能已持续了半年以上。卡巴斯基实验室全球研究和分析团队亚太区总监 Vitaly Kamluk 表示，当研究人员在今年初联系华硕时，该公司拒绝承认其服务器遭到入侵，并表示此恶意软件是来自其他网络。但卡巴斯基所收集的恶意软件样本的下载路径是明确的指向华硕服务器。该恶意软件伪装成 setup.exe，据称是对更新工具本身的更新，且签证是有效的。

供应链资安隐忧大 卡巴斯基强调，这突显了来自供应链的资安问题，虽然这也不是首见，此前就有间谍工具针对微软更新来欺骗用户计算机下载恶意软件。不过不太一样的是，当时黑客是重新定向受害者计算机连上假的更新服务器。类似的案例还有很多，例如 CCleaner 也曾被发现透过软件更新向用户散播恶意软件，还有臭名昭著的 notPetya 攻击等。不过卡巴斯基董事 Costin Raiu 指出，此次劫持华硕服务器的手法更加漂亮，在类似的资安威胁中更加隐密及难以察觉，且只要不触发基本上很难被用户发现，但即使在非目标系统上保持沉默，此攻击途径也形同黑客在每个受感染的 ASUS 系统上装有后门，且范围是相当大规模的。在今年初卡巴斯基刚发现时就有近 57,000 名用户被感染，而目前样本仅来自于卡巴斯基自己的付费客户，实际受害者可能高达数十万。

黑客有针对性 不过有趣的是，此种黑客攻击是阶段性且有明确的目标性，是一种外科手术式的精准攻击，其透过辨识对方的硬件地址来确定是否为攻击目标之后才触发软件。而这也表示，黑客已提前知道目标的具体硬件地址，而不是随机选择。目前卡巴斯基，只能从恶意软件样本中解析出 600 多个硬件地址列表，无从得知全貌，也没办法知道第二阶段受害者的身分是谁。此次攻击手法被命名为 ShadowHammer，目前卡巴斯基研究人员认为此次黑客与 ShadowPad 和 CCleaner 攻击是同一批团队。华硕原本就是 CCleaner 攻击的主要目标之一，并推测以此获得对华硕服务器的访问权限。目前确认到黑客使用两种不同的华硕数字签证来签署他们的恶意软件，一个已在 2018 年中期到期，然而黑客随即切换到第二个合法签证。目前华硕对此仍无回应。其实这也不是华硕首次面临资安危机，早在 2016 年就被美国联邦贸易委员会指责，华硕的网通产品有不少漏洞，可能面临黑客威胁，而华硕承诺建立一项全面性的资安计划，并进行 20 年期的独立审查。

自检措施 卡巴斯基已针对此次攻击推出了检测工具，民众可以透过在线检查 MAC 网址，来确定自己是否是被攻击的目标，并希望受害者能尽速与卡巴斯基联络。技术详情可参考此网页 Operation ShadowHammer 。