Logo: ASUS // Sammensætning: ZDNet
×
asus.png
Sikkerhed forskere fra Ovenlys Cyber har i dag offentliggjort en liste, der indeholder 583 MAC-adresser, at hackere havde rettet ved hjælp af den seneste ASUS hack.
Skylight team opnået denne liste ved reverse engineering af en Windows-app skabt af Kaspersky Lab til at lade ASUS brugere test, hvis deres computere var af interesse for hackere.
ASUS hack skete sidste år, da formodede Kinesiske hackere overtrådt ASUS IT-infrastruktur og backdoored selskabets Live Update værktøj, der er installeret på alle ASUS notebooks til at hjælpe med automatiske firmware-opdateringer.
Ikke alle ASUS brugere blev rettet i løbet af dette hack. Den backdoored Live-Update-værktøjet vil kun installere supplerende malware på visse computere, der havde en bestemt MAC-adresse til deres netværk interfaces.
Når ASUS hack blive offentliggjort tidligere i denne uge, Kaspersky udgivet en app, der ville ind i brugernes’ computere og rapportér det, hvis de var på hackere ” meget lille liste over potentielle mål.
“Kaspersky blev sandsynligvis distribuere dem [MAC] lister gennem deres betalte service,” et Ovenlysvindue Cyber talsmand fortalte ZDNet tidligere i dag. “Nu, unhashed liste er gratis for alle at bruge, forskere og organisationer er ens.”
Hvad der er på den liste?
Selv om MAC liste blev offentliggjort i dag for første gang i en klartekst-version, dens indhold var aldrig en hemmelighed.
Lister, der indeholder MAC-adresser i en krypteret version, der har stået rundt omkring på nettet hele ugen-for eksempel denne version uploadet på GitHub.
Andre vagtselskaber, som Qihoo 360, var allerede analysere det, selv før i dag. ZDNet har også modtaget en klartekst kopi tidligere i denne uge, og havde været på udkig i de kreditorer, hvis MAC-adresser, der var inkluderet på listen.
Billede: Qihoo 360
×
asus-mac-list-vendors.jpg
Langt de fleste af disse MAC-adresser, der hører til store selskaber, ASUStek, Intel, og AzureWave. Næsten alle leverandører, som er inkluderet på listen, selv dem, der havde bare en håndfuld af MAC-adresser målrettet, er beslutningstagere af WiFi-kompatible enheder.
En industri insider fortalte ZDNet, at mens dette kunne tyde på, at formålet med Operationen ShadowHammer (kodenavn givet til ASUS hack) kunne være at målrette mod visse typer af WiFi stand-systemer, den lille antal af MAC-adresser, at hackere valgte faktisk viser det modsatte punkt-at de var efter udvalgte mål, snarere end masse-målretning generiske WiFi-kompatible enheder som en helhed.
Angribere vidste præcis, hvem de ønskede at hacke
Costin Raiu, en af de Kaspersky Lab forskere, der er involveret i ShaddowHammer undersøgelse, også fortalte ZDNet, der ikke kunne drages nogen konklusioner fra denne MAC liste.
Fjernangribere kan bestemme MAC-adresse for en enhed, uden at gå på kompromis med det, gennem en teknik, der kaldes netværk scanning.
Riu sagde målet liste sandsynligvis var sat sammen efter rekognoscering operationer i tidligere angreb, og det vil være næsten umuligt at fortælle, hvem hackere målrettet. Kun enheden leverandører vil være i stand til at besvare disse spørgsmål, og især ASUS.
Endvidere har der været forskellige backdoored versioner af Live Update software (opdater software, der hver er målrettet mod forskellige MAC-adresser. Nogle gange er disse lister var små, og nogle gange er de, der er indeholdt i hundredvis af poster, som blev fremhævet af både Kaspersky og F-Secure analyse, der offentliggøres i dag.
Dette viser, at hackere ” målretning ændret sig som tiden gik, og da de enten kompromitteret ønskede ofre, eller realiseret nogle mål ville være uopnåelig. Dette tyder også på, at hackere havde fuld kontrol over ASUS’ infrastruktur i flere måneder,og indsat forskellige Live-Opdatering nyttelast til brug i flere operationer, og ikke kun én.
I andre tilfælde, hackere ønskede at inficere enheder, der havde to MAC-adresser på samme tid, hvilket bekræfter teorien om, at hackere på forhånd vidste, hvad de ønskede mål, og de blev blot ved hjælp af ASUS Live Update værktøj, som en springende punkt i den ønskede systemer.
I nogle tilfælde, #shadowhammer bagdør kontrollerer både NIC og WiFi-adapter Mac-computere til at identificere offer for yderligere udnyttelse. Anden fase er indsat kun, hvis begge adresser match. Det var virkelig, at målrettet.
— Costin Raiu (@craiu) 26 Marts 2019
Fra F-Secure-rapport:
1) 0c:5b:8f:27:9a:64, som blev fundet i, 8 prøver, der synes at være en Huawei trådløse chip-adresse. Det er ikke tildelt til Huawei, men ser ud som om det bliver brugt i Huawei E3372 enheder, som er et 4G USB-stick. Dette bestemt MAC-adresse, er altid kontrolleres sammen med en bestemt Asustek Computer Inc. MAC-adresse.
2) 00ff5eXXXXXX er altid kontrolleres sammen med en VMWare MAC-adresse, der tyder på, at denne MAC-adresse, der bruges i virtualiserede miljøer.
Men i andre tilfælde kan de målrettet var på vej væk. Dette var ikke på grund af hackere’ fejl, men fordi flere hardwareleverandører genbruges den samme MAC-adresse for tusindvis af enheder.
Jeg er også spekulerer på, hvor mange Huawei kunder uforvarende blev ramt af ASUS-leveret malware, fordi Huawei tilsyneladende besluttet sig for at anvende unikke MAC-adresser for hver enhed blev for meget arbejde. pic.twitter.com/h3jQicfglb
— Vil Dormann (@wdormann) 29 Marts 2019
Tilsyneladende, en af de Mac-computere ramt af #ShadowHammer bruges på tusindvis af værter: det er VMware VMNet8 adapter med standard MAC 00:50:56:C0:00:08. Hvis du fik en af dem – ikke flipper ud. Du var sikkert bare en sikkerhedsstillelse mål. Check, hvis du kørte ASUS Live-Updater i 2018.
— Vitaly Kamluk (@vkamluk) 26 Marts 2019
En anden sag er 0C:5B:8F:27:9A:64. Det ene er, der anvendes af Huawei E3772 USB 4G dongle og synes at være den samme for alle ejere af en sådan enheder. Ser ud som #ShadowHammer målretning var ikke præcise i nogle tilfælde, og kan forårsage uplanlagte infektioner.
— Vitaly Kamluk (@vkamluk) 26 Marts 2019
Hvad alt dette fortæller eksterne observatører er, at Driften ShadowHammer synes at den sidste fase af en større hacking drift, der mest sandsynligt begyndte med rekognoscering operationer måneder før den egentlige ASUS hack.
Kaspersky sagde, at hackere stoppede med at levere en backdoored version af Live-Opdatering af sidste November, hvilket tyder på, at hackere kan have hacket de mål, de var ude efter og flyttede til andre operationer siden da.
ASUS udgivet en ren version af Live-Opdatering af tidligere i denne uge.
Mere cybersecurity dækning:
Franske tankstationer røvet efter at glemme at ændre gas pumpe PINs
Microsoft tager kontrol over 99 domæner, der drives af Iranske stat hackersNorth koreanske hackere angreb på cryptocurrency businessesTop dark web markedsplads vil lukke i næste måned
Rapporten skønner, at Rusland er en pioner inden for GPS-spoofing attacksToyota annoncerer andet brud på sikkerheden i de sidste fem weeksWe inviteret professionelle hackere til at angribe os CNET
De 3 mindst sikre programmeringssprog TechRepublic
Relaterede Emner:
Hardware
Sikkerhed-TV
Data Management
CXO
Datacentre