Igen súlyos, széles kört érintő biztonsági incidensről számolt be a Kaspersky. A cég szakemberei szerint hekkereknek tavaly sikerült kompromittálnia az Asus termékeihez automatikus update-eket küldő szervert, és ennek segítségével hónapokon keresztül tudták terjeszteni a rosszindulatú kódjukat, amely rengeteg eszközt megfertőzött, de igazi célpontja csak néhány száz konkrét számítógép volt.
Pikáns történet
Az Operation SledgeHammer néven emlegetett akció nyomait idén januárban fedezték fel az orosz kutatók azt követően, hogy egy új fejlesztésük szokatlan kódokra bukkant a beszállítói láncok ellenőrzése során. A Kaspersky a részletesebb jelentést az április elején tartandó nagy biztonsági konferenciájára ígére, de a most publikált adatokból is elég jól kirajzolódik a történet.
A tilosban halászók tavaly június és november között hosszú ideig tudták káros tevékenységüket folytatni, mégpedig azért, mert a szakértők szerint sikeresen feltörték az Asus Live Update feladatait végző szervert. Innen egy preparált fájlt küldtek szét a felhasználóknak, amely ráadásul a gyártó hitelesített tanúsítványával volt ellátva. A fontos frissítésként felcimkézett csomag így minden olyan gépre felkerült, amelynek használója bedőlt a trükknek.
Mivel csak a saját ügyfeleinél tudta elvégezni az ellenőrzéseket az orosz kibervédelmi vállalat, így az ügy pontos kiterjedését nem lehet megmondani, de a Kaspersky szerint több százezer gépről beszélhetünk, sőt az sem kizárt, hogy millió felett van a fertőzések száma. A Kaspersky-ügyfelek esetében 57 ezer incidenst azonosítottak.
A történet tartogat egy érdekes csavart is, ugyanis az ügyfelektől vett minták alapján a szakértők rájöttek arra, hogy ennek a digitális "szőnyegbombázásnak" tulajdonképpen igen limitált volt a valódi célpontja. Az eddig ismeretek szerint az elkövetők nagyjából 600 konkrét gépet akartak megfertőzni. A vírus figyelte a rendszerek egyedi MAC-azonosítóját, és csak akkor riasztotta a gazdáit, ha az előre megadott listán szereplő címmel találkozott (az is érdekes mellékszál, hogy ezt miként állították össze). Ebben az esetben pedig érkezett egy második csomag, amely szélesre tárta a kaput az adott rendszerben a hekkerek számára. A második hullám kontrolláltsága és szűk köre is segítette a bűnözőket abban, hogy ilyen sokáig észrevétlenek maradjanak.
Nehézkes együttműködés, késői reagálás
Az Asus viselkedése az ügyben nem különben érdekes. Bár a Kaspersky szerint még januárban értesítették a problémáról a tajvani gyártót, az egy februári egyeztetésen kívül nem bizonyult túlságosan együttműködőnek. Az esetről elsőként beszámoló Motherboard cikke szerint az Asus nem értesítette a vásárlóit és egyébként sem "izgulta túl" a dolgokat. A támadók által használt két tanúsítványt például nem vonták vissza, az egyikkel pedig még egy hónappal azt követően is küldtek ki frissítéseket, hogy tudomásukra jutott az akció.
A Motherboard a történet publikálása előtt megkereste az Asust is, hogy reagáljon a Kaspersky állításaira, de a múlt csütörtökön küldött levelekre nem érkezett válasz. Ma azonban már kicsit kommunikatívabbnak bizonyult a cég. A hivatalos tájékoztatás szerint már kész is a javítás, amely egyrészt megakadályozza az ilyen jellegű további akciókat, másrészt a gyártó a szerveres rendszerében is megerősítette a védelmet. Ezzel ugyan az Asus elismerte a Kaspersky által reflektorfénybe helyezett akciót, ám azt a válságkommunikáció során nagyon erősen hangsúlyozták, hogy "nagyon szűk kört" érint az ügy. A fertőzésben érintettekkel pedig közvetlenül felveszik a kapcsolatot és segítséget nyújtanak a biztonsági rés felszámolásában.
A szűk kör persze relatív fogalom, és könnyen lehet, hogy az Asus arra a bizonyos 600 valódi célpontra gondolva mondta mindezt. Annyi mindenesetre bizonyosnak tűnik, hogy a Kaspersky által beazonosított 57 ezer incidens mellé még legalább 13 ezer Symantec-ügyfelet is felírhatunk. Az amerikai biztonsági cég a Motherboard megkeresésére megerősítette az orosz kollégák sztoriját, és az előzetes vizsgálódásuk alapján ennyi fertőzött gépet rögtön találtak az ügyfélkörükben.
A NIS2-megfelelőség néhány technológiai aspektusa
A legtöbb vállalatnál a megfeleléshez fejleszteni kell a védelmi rendszerek kulcselemeit is.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak