Logo: ASUS // Samenstelling: ZDNet
×
asus.png
Beveiligingsonderzoekers van Dakraam Cyber publiceerde vandaag een lijst met de 583 MAC-adressen die hackers had gerichte gebruik van de recente ASUS hack.
Het Dakraam team, wordt deze lijst door reverse-engineering van een Windows app gemaakt door Kaspersky Lab te laten ASUS gebruikers testen of hun computers waren van belang zijn voor hackers.
De ASUS hack gebeurde vorig jaar, toen verdacht Chinese hackers een schending van de ASUS IT-infrastructuur en backdoored het bedrijf Live Update programma dat is geïnstalleerd op alle ASUS notebooks te helpen met automatische firmware-updates.
Niet alle ASUS-gebruikers waren gericht tijdens deze hack. De backdoored Live Update tool zou alleen het installeren van malware op bepaalde computers had een specifiek MAC-adres voor het netwerk interfaces.
Wanneer de ASUS hack openbaar worden van eerder deze week, Kaspersky gepubliceerd, een app die gebruikers controleren’ computers en het verslag als ze op de hackers’ zeer kleine lijst van mogelijke doelwitten.
“Kaspersky was waarschijnlijk de distributie van die [MAC] lijsten door hun betaalde dienst,” een Dakraam Cyber woordvoerder vertelde ZDNet eerder vandaag. “Nu, de unhashed lijst is gratis voor iedereen te gebruiken, onderzoekers en organisaties.”
Wat staat er op de lijst?
Hoewel het MAC-lijst werd vandaag voor de eerste keer in een leesbare vorm versie, de inhoud was nooit een geheim.
Lijsten waarin u de MAC-adressen in een gehashte versie gaan al rond op het web de hele week, bijvoorbeeld, deze versie is geüpload op GitHub.
Andere beveiligingsbedrijven, zoals Qihoo 360, al waren het analyseren van het nog voor vandaag. ZDNet kreeg ook een leesbare vorm kopie van eerder deze week en was op zoek naar de leveranciers’, waarvan de MAC-adressen zijn opgenomen op de lijst.
Afbeelding: Qihoo 360
×
asus-mac-list-vendors.jpg
De overgrote meerderheid van deze MAC-adressen behoren tot de grote bedrijven ASUStek, Intel, en AzureWave. Bijna alle leveranciers op de lijst, zelfs degenen die had slechts een handvol van MAC-adressen gericht, de makers van WiFi-apparaten.
Een industrie insider vertelde ZDNet dat terwijl dit zou kunnen suggereren dat het doel van de Operatie ShadowHammer (de codenaam gegeven aan de ASUS hack) zou het doel van bepaalde vormen van WiFi in staat systemen, het kleine aantal MAC-adressen die hackers geselecteerde eigenlijk bewijst het tegengestelde punt –dat waren ze na de geselecteerde doelen, in plaats van massa-targeting generieke WiFi-apparaten als een geheel.
Aanvallers wisten precies wie ze wilde hack
Costin Raiu, één van de Kaspersky Lab onderzoekers die betrokken zijn bij de ShaddowHammer onderzoek, ook verteld ZDNet dat er geen conclusies kunnen worden getrokken uit deze MAC-lijst.
Aanvallers kunnen bepalen van het MAC-adres van een apparaat zonder afbreuk te doen aan het, door middel van een techniek genaamd scannen in een netwerk.
Riu zei de target lijst is waarschijnlijk samen na verkenning activiteiten in vorige aanslagen, en zal het bijna onmogelijk om te zeggen wie de hackers gericht. Alleen het apparaat leveranciers in staat zou zijn om deze vragen te beantwoorden, en in het bijzonder de ASUS.
Bovendien, er zijn verschillende backdoored versies van de Live Update-software, elk gericht was op verschillende MAC-adressen. Soms zijn deze lijsten waren klein, en soms zijn ze bevatte honderden inzendingen, zoals werd benadrukt door zowel Kaspersky en F-Secure analyse dat vandaag is gepubliceerd.
Dit toont aan dat de hackers’ targeting veranderd naarmate de tijd ging door, en als ze het gedrang gewenste slachtoffers, of gerealiseerd sommige slachtoffers zouden zijn onbereikbaar. Dit suggereert ook dat de hackers hadden de volledige controle over ASUS’ infrastructuur voor maanden,en ingezet verschillende Live Update payloads te gebruiken in meerdere operaties, en niet slechts één.
In andere gevallen, de hackers wilden besmetten apparaten die had twee MAC-adressen tegelijk, bevestigt de theorie dat de hackers wisten van tevoren wat ze wilden doel, en alleen met behulp van de ASUS Live Update tool als een springend punt in de gewenste systemen.
In sommige gevallen, de #shadowhammer backdoor controleert zowel de netwerkkaart en WiFi-adapter MACs te identificeren van het slachtoffer voor verdere exploitatie. De tweede fase is ingezet, alleen als beide adressen overeenkomen. Het was echt dat gericht is.
— Costin Raiu (@craiu) 26 Maart 2019
Uit de F-Secure-rapport:
1) 0c:5b:8f:27:9a:64, dat werd gevonden in de 8 monsters, blijkt een Huawei wireless chip adres. Het is niet toegewezen aan Huawei, maar ziet eruit als het wordt gebruikt in de Huawei E3372 apparaten, dat is een 4G USB-stick. Dit MAC-adres wordt altijd gecontroleerd, samen met een specifieke Asustek Computer Inc. MAC-adres.
2) 00ff5eXXXXXX wordt altijd gecontroleerd, samen met een VMWare MAC-adres, wat suggereert dat dit MAC-adres wordt gebruikt in virtuele omgevingen.
Maar in andere gevallen, de gerichtheid was weg. Dit was niet vanwege de hackers’ fout, maar omdat een aantal hardware leveranciers hergebruikt hetzelfde MAC-adres voor duizenden apparaten.
Ik vraag me ook af hoeveel Huawei klanten per ongeluk getroffen door de ASUS-geleverd malware, omdat Huawei blijkbaar besloten dat het gebruik van unieke MAC-adres voor elk apparaat was te veel werk. pic.twitter.com/h3jQicfglb
— Will Dormann (@wdormann) 29 Maart 2019
Blijkbaar is één van de MACs gerichte door #ShadowHammer wordt gebruikt op duizenden der heirscharen: het is VMware VMNet8 adapter met standaard MAC-00:50:56:C0:00:08. Als je één van die – schrik niet. Je was waarschijnlijk gewoon een onderpand doel. Controleer of je liep ASUS Live Updater in 2018.
— Vitaly Kamluk (@vkamluk) 26 Maart 2019
Een ander geval is 0C:5B:8F:27:9A:64. Deze wordt gebruikt door Huawei E3772 4G USB-dongle en lijkt hetzelfde te zijn voor alle bezitters van deze apparaten. Ziet eruit als #ShadowHammer targeting was niet nauwkeurig in sommige gevallen kan leiden tot ongeplande infecties.
— Vitaly Kamluk (@vkamluk) 26 Maart 2019
Wat dit alles vertelt externe waarnemers is dat de Werking ShadowHammer lijkt de laatste fase van een groter hacken werking die het meest waarschijnlijk begonnen met een verkenning operaties maanden voor de eigenlijke ASUS hack.
Kaspersky zei dat hackers gestopt met het leveren van een backdoored versie van de Live Update tool in November vorig jaar, wat suggereert dat hackers zou hebben gehackt, de doelstellingen werden ze na en verplaatst naar andere activiteiten.
ASUS bracht een schone versie van de Live-Update hulpprogramma eerder deze week.
Meer cybersecurity dekking:
Franse benzinestations beroofd na het vergeten te veranderen gas pomp Pinnen
Microsoft neemt de controle van 99 domeinen beheerd door de Iraanse staat hackersNorth-koreaanse hackers gaan aanvallen op cryptocurrency businessesTop donkere web marketplace wordt afgesloten volgende maand
Verslag acht Rusland, een pionier in het GPS-spoofing attacksToyota kondigt tweede inbreuk op de beveiliging in de laatste vijf weeksWe uitgenodigd professionele hackers om ons aan te vallen CNET
De 3 minst veilige programmeertalen TechRepublic
Verwante Onderwerpen:
Hardware
Beveiliging TV
Data Management
CXO
Datacenters