Taiwanesiska Asus är en av världens största tillverkare av datorer, i synnerhet laptops. Asus Live Update är företagets uppdateringstjänst som uppdaterar framför allt bios, uefi och drivrutiner, men även vissa Asus-specifika program. Detta gäller alltså inte uppdateringar av Windows eller andra operativsystem.

Det är it-säkerhetsföretaget Kaspersky Lab som upptäckt attacken mot Asus uppdateringsservrar där förövarna lyckats få tillgång till servrarna och bytt ut uppdateringspaketen mot sina egna, som alltså innehåller en bakdörr. Förövarna har till råga på allt signerat sina egna paket med Asus certifikat och sett till att de falska paketen har exakt samma filstorlek som originalen, skriver Bleeping Computer.

Certifikatet är utgivet till ASUSTeK Computer Inc. och de hackade uppdateringsservrarna är liveupdate01s.asus.com and liveupdate01.asus.com.

Attacken betecknas av Kaspersky som en apt-attack, Advanced Persistent Threat, alltså en attack som riktar som mot specifika mål. Kaspersky bygger sitt antagande på att de falska uppdateringspaketen innehåller hårdkodade listor med mac-adresser. Om ett paket med en bakdörr träffar på en mac-adress i listan laddar bakdörren ned en andra omgång skadlig kod, annars ligger den lågt. Listan innehåller cirka 600 mac-adresser.

Kaspersky upptäckte attacken genom att de har sin säkerhetsmjukvara installerad på 57 000 av de infekterade datorerna, och kommer fram till att totalt en miljon asus-datorer infekterats genom en uppskattning utifrån deras egen installationsbas. Kaspersky har döpt attacken till Operation ShadowHammer.

Attacken upptäcktes i januari i år, men anses ha pågått mellan juni och november förra året då förövarnas kommando-server stängdes ned. Kaspersy har inte kunnat komma över ett prov av den skadliga koden som laddas ned av bakdörren och kan därför inte svara på vilken typ av attack det rör sig om.

Kaspersky har enligt egen utsago varnat Asus, men inte fått den respons man räknat med, och Asus verkar inte ha gått ut med någon kommentar om attacken.

Kaspersky har tagit fram ett testverktyg som kan laddas ned här, eller köras online här.

Läs också:
Åtta av de tio värsta sårbarheterna kommer från Microsoft
Mobilattackerna fördubblades 2018 – 19 av 20 attacker mot Android