北京時(shí)間3月26日早間消息，據(jù)美國科技媒體TechCrunch報(bào)道，來自卡巴斯基實(shí)驗(yàn)室(Kaspersky Labs)的安全研究人員周一表示，他們發(fā)現(xiàn)去年黑客

北京時(shí)間3月26日早間消息，據(jù)美國科技媒體TechCrunch報(bào)道，來自卡巴斯基實(shí)驗(yàn)室(Kaspersky Labs)的安全研究人員周一表示，他們發(fā)現(xiàn)去年黑客通過華碩Live Update軟件的漏洞入侵計(jì)算機(jī)，向100多萬華碩電腦用戶發(fā)送了惡意軟件，導(dǎo)致這些電腦可能存在后門。

研究人員說，攻擊最早是在2019年1月發(fā)現(xiàn)的。代號為“Operation ShadowHammer”的攻擊活動是2018年6月至11月發(fā)生，目的是提供一個(gè)帶有后門的軟件更新，讓黑客能夠進(jìn)入受感染的電腦，可能影響無數(shù)用戶。

華碩的大多電腦都預(yù)裝Live Update Utility軟件，而Operation ShadowHammer攻擊活動瞄準(zhǔn)的正是這款軟件。華碩Live Update確保計(jì)算機(jī)系統(tǒng)(比如驅(qū)動、App、BIOS、UEFI)到期之后能及時(shí)更新。

卡巴斯基表示，超過5.7萬名用戶下載并安裝了受攻擊的華碩更新，但黑客的目標(biāo)是數(shù)量較少的不明受害者。通過漏洞，Operation ShadowHammer可以發(fā)起非常復(fù)雜的供應(yīng)鏈攻擊，其復(fù)雜性超過Shadowpad和CCleaner攻擊。

“我們無法僅根據(jù)我們的數(shù)據(jù)計(jì)算受影響用戶的總數(shù);然而，我們估計(jì)，這個(gè)問題的真正規(guī)模要大得多，可能會影響全球100多萬用戶，”卡巴斯基在一篇博客文章中表示。

卡巴斯基認(rèn)為，只要軟件擁有合法華碩安全證書，攻擊就不會被發(fā)現(xiàn)。而且更新還寄存于合法華碩更新域名內(nèi)，比如liveupdate01s.asus[.]com和liveupdate01.asus[.]com，從而確保Operation ShadowHammer活動更難被察覺。

同時(shí)，賽門鐵克發(fā)言人表示，該公司的研究人員也能夠識別針對華碩用戶的攻擊。

而華碩表示，將于周二發(fā)布一份聲明。

這次攻擊最先由科技新聞網(wǎng)站Motherboard報(bào)道，顯示出黑客能夠利用科技公司及其供應(yīng)商的規(guī)模，接觸到大量受害者。

卡巴斯基表示，該公司已于今年1月將攻擊事件通知華碩，并正在協(xié)助華碩展開調(diào)查。不過Motherboard報(bào)道稱，此前圍繞這一問題，華碩與卡巴斯基代表協(xié)商，不過當(dāng)時(shí)沒有后續(xù)。華碩拒絕承認(rèn)自己的服務(wù)器有漏洞，繼續(xù)使用其中一種有漏洞的安全證書，通知之后至少過了一個(gè)月，出現(xiàn)一起攻擊事件，它就是由此證書引起的。之后華碩停用證書，但是證書仍然可以被喚醒。

美國科技媒體ZDNet認(rèn)為，華碩可能不是故意通過更新系統(tǒng)將惡意軟件散播給如此多的用戶。不過攻擊者似乎只是瞄準(zhǔn)600個(gè)目標(biāo)，硬編碼到惡意軟件中，然后根據(jù)網(wǎng)絡(luò)適配器使用的獨(dú)特MAC地址來確認(rèn)。

通過惡意軟件的“Surgical”過濾方法可以確定受害者，然后木馬軟件將后門裝到機(jī)器，并下載更多東西。研究人員說，如果你已經(jīng)下載軟件和后門，但是不在目標(biāo)名單之上，惡意軟件不會有進(jìn)一步動作。

對Operation ShadowHammer的調(diào)查還在繼續(xù)，4月份，在卡巴斯基安全分析師峰會(SAS)上，將會公布結(jié)果，并發(fā)表技術(shù)報(bào)告。(中天)

關(guān)鍵詞： 華碩Live Update 漏洞 后門