Az orosz Kaspersky kutatói még januárban fedezték fel, hogy valami nem stimmel a tajvani gyártó automatikus frissítéseivel.
Hirdetés
 

Igen súlyos, széles kört érintő biztonsági incidensről számolt be a Kaspersky. A cég szakemberei szerint hekkereknek tavaly sikerült kompromittálnia az Asus termékeihez automatikus update-eket küldő szervert, és ennek segítségével hónapokon keresztül tudták terjeszteni a rosszindulatú kódjukat, amely rengeteg eszközt megfertőzött, de igazi célpontja csak néhány száz konkrét számítógép volt.

Pikáns történet

Az Operation SledgeHammer néven emlegetett akció nyomait idén januárban fedezték fel az orosz kutatók azt követően, hogy egy új fejlesztésük szokatlan kódokra bukkant a beszállítói láncok ellenőrzése során. A Kaspersky a részletesebb jelentést az április elején tartandó nagy biztonsági konferenciájára ígére, de a most publikált adatokból is elég jól kirajzolódik a történet.

A tilosban halászók tavaly június és november között hosszú ideig tudták káros tevékenységüket folytatni, mégpedig azért, mert a szakértők szerint sikeresen feltörték az Asus Live Update feladatait végző szervert. Innen egy preparált fájlt küldtek szét a felhasználóknak, amely ráadásul a gyártó hitelesített tanúsítványával volt ellátva. A fontos frissítésként felcimkézett csomag így minden olyan gépre felkerült, amelynek használója bedőlt a trükknek.

Mivel csak a saját ügyfeleinél tudta elvégezni az ellenőrzéseket az orosz kibervédelmi vállalat, így az ügy pontos kiterjedését nem lehet megmondani, de a Kaspersky szerint több százezer gépről beszélhetünk, sőt az sem kizárt, hogy millió felett van a fertőzések száma. A Kaspersky-ügyfelek esetében 57 ezer incidenst azonosítottak.

A történet tartogat egy érdekes csavart is, ugyanis az ügyfelektől vett minták alapján a szakértők rájöttek arra, hogy ennek a digitális "szőnyegbombázásnak" tulajdonképpen igen limitált volt a valódi célpontja. Az eddig ismeretek szerint az elkövetők nagyjából 600 konkrét gépet akartak megfertőzni. A vírus figyelte a rendszerek egyedi MAC-azonosítóját, és csak akkor riasztotta a gazdáit, ha az előre megadott listán szereplő címmel találkozott (az is érdekes mellékszál, hogy ezt miként állították össze). Ebben az esetben pedig érkezett egy második csomag, amely szélesre tárta a kaput az adott rendszerben a hekkerek számára. A második hullám kontrolláltsága és szűk köre is segítette a bűnözőket abban, hogy ilyen sokáig észrevétlenek maradjanak.

Nehézkes együttműködés, késői reagálás

Az Asus viselkedése az ügyben nem különben érdekes. Bár a Kaspersky szerint még januárban értesítették a problémáról a tajvani gyártót, az egy februári egyeztetésen kívül nem bizonyult túlságosan együttműködőnek. Az esetről elsőként beszámoló Motherboard cikke szerint az Asus nem értesítette a vásárlóit és egyébként sem "izgulta túl" a dolgokat. A támadók által használt két tanúsítványt például nem vonták vissza, az egyikkel pedig még egy hónappal azt követően is küldtek ki frissítéseket, hogy tudomásukra jutott az akció.

A Motherboard a történet publikálása előtt megkereste az Asust is, hogy reagáljon a Kaspersky állításaira, de a múlt csütörtökön küldött levelekre nem érkezett válasz. Ma azonban már kicsit kommunikatívabbnak bizonyult a cég. A hivatalos tájékoztatás szerint már kész is a javítás, amely egyrészt megakadályozza az ilyen jellegű további akciókat, másrészt a gyártó a szerveres rendszerében is megerősítette a védelmet. Ezzel ugyan az Asus elismerte a Kaspersky által reflektorfénybe helyezett akciót, ám azt a válságkommunikáció során nagyon erősen hangsúlyozták, hogy "nagyon szűk kört" érint az ügy. A fertőzésben érintettekkel pedig közvetlenül felveszik a kapcsolatot és segítséget nyújtanak a biztonsági rés felszámolásában.

A szűk kör persze relatív fogalom, és könnyen lehet, hogy az Asus arra a bizonyos 600 valódi célpontra gondolva mondta mindezt. Annyi mindenesetre bizonyosnak tűnik, hogy a Kaspersky által beazonosított 57 ezer incidens mellé még legalább 13 ezer Symantec-ügyfelet is felírhatunk. Az amerikai biztonsági cég a Motherboard megkeresésére megerősítette az orosz kollégák sztoriját, és az előzetes vizsgálódásuk alapján ennyi fertőzött gépet rögtön találtak az ügyfélkörükben.

Biztonság

Nem megy zökkenőmentesen a Big Mac bigtechesítése

A hétvégén durva rendszerleállás sújtotta a McDonald's globális hálózatát.
 
Hirdetés

A NIS2-megfelelőség néhány technológiai aspektusa

A legtöbb vállalatnál a megfeleléshez fejleszteni kell a védelmi rendszerek kulcselemeit is.

Hogyan kezdje meg a felkészülést a NIS2-re egy szervezet? Milyen teendőkkel, költségekkel kell számolnia, és milyen kérdéseket kell megválaszolnia? NIS2-ről szóló összeállításunk második része.

a melléklet támogatója a RelNet Technológia Kft.

CIO KUTATÁS

TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?

Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »

Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!

LÁSSUNK NEKI!

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.