Sono pesanti le accuse di Kaspersky Lab contro Asus: il gruppo si sarebbe involontariamente reso veicolo di malware in tutto il mondo tramite i propri server di aggiornamento dei firmware. Il canale privilegiato per la distribuzione di aggiornamenti di sicurezza, insomma, sarebbe diventato canale privilegiato per la distribuzione di malware in grado di creare backdoor sui pc vittima dell’attacco. Tutto ciò tra giugno e novembre 2018, quando l’operazione “ShadowHammer” è stata svelata.
Il problema sarebbe insorto da un server responsabile degli update Asus a BIOS, UEFI e altri software: una volta colpito da malintenzionati esterni all’azienda, il servizio ASUS Live Update Utility avrebbe agito distribuendo software teoricamente legittimo (con tanto di certificazione Asus), ma in realtà maligno.
ASUS Live Update è un software per l’aggiornamento driver online. Permette di rilevare se ci sono nuove versioni dei programmi rilasciati sul sito Web ASUS e quindi aggiorna automaticamente BIOS, driver e applicazioni. Per i dispositivi con sistema operativo preinstallato, anche ASUS Live Update è presente di fabbrica.
Secondo i dati raccolti da Kaspersky, 57 mila utenti sarebbero stati identificati come vulnerabili dal software del gruppo, il che proietta a quasi 1 milione di computer il numero possibile delle vittime in essere. Quando Kaspersky ha contattato il gruppo taiwanese per notificare il problema, le accuse sono state inizialmente rispedite al mittente, ma ora il caso è deflagrato con la pubblicazione della documentazione correlata. Kaspersky spiega che le indagini sarebbero ancora in corso.
Il problema vero interessa in realtà soltanto poche utenze specifiche, poiché ad essere prese di mira sarebbero circa 600 postazioni identificate da specifico MAC address: non un attacco su larga scala, insomma, ma un canale di larga scala con il quale veicolare un attacco estremamente mirato e circostanziato. Nel caso in cui il tool avesse identificato una di queste postazioni, avrebbe dato il via all’installazione di malware ulteriore per portare avanti quelle che sono probabilmente le vere intenzioni dell’offensiva.
Non è chiaro quale fosse la vittima di questo specifico attacco: Kaspersky spiega di aver operato al fine di proteggere gli utenti e nel frattempo suggerisce l’aggiornamento dell’ASUS Live Update Utility. Chiunque può verificare se la propria postazione fosse presa di mira utilizzando la procedura semplificata riassunta sotto l’approfondimento “ShadowHammer” offerto dalla stessa Kaspersky.
Ancora una volta, insomma, ad emergere è il veicolo di un attacco ben più mirato: tracce di una cyberwar più profonda e mirata, qualcosa di diverso dal semplice sfruttamento di milioni di infezioni alla ricerca di account o dati personali.
Update: Asus ha spiegato la situazione e rilasciato un tool di verifica per chi intende verificare il proprio dispositivo.