Logo: ASUS // Composizione: ZDNet
×
asus.png
I ricercatori di sicurezza di Lucernario Cyber hanno pubblicato oggi un elenco contenente i 583 indirizzi MAC che gli hacker avevano mirato utilizzando la recente ASUS hack.
Il Lucernario squadra ottiene questo elenco di reverse engineering di un’applicazione di Windows creato da Kaspersky Lab per far ASUS agli utenti di testare se i loro computer sono stati di interesse per gli hacker.
Il driver ASUS hack è successo l’anno scorso, quando il sospetto di hacker Cinesi hanno violato le ASUS infrastruttura IT e backdoored della società Live Update tool che è installato su tutti i notebook ASUS per aiutare con gli aggiornamenti automatici del firmware.
Non tutti i driver ASUS utenti sono stati mirati durante questo hack. Il backdoored Live Update tool sarebbe solo installare altri malware sul computer che aveva un indirizzo MAC specifico per le loro interfacce di rete.
Quando il driver ASUS hack resi pubblici all’inizio di questa settimana, Kaspersky ha pubblicato un’app che possa controllare i computer degli utenti e di report se fossero gli hacker’ molto piccola lista di potenziali obiettivi.
“Kaspersky è stata probabilmente la distribuzione di quelle [MAC] liste attraverso il loro servizio a pagamento,” un Lucernario Cyber portavoce ha detto a ZDNet prima di oggi. “Ora, il unhashed elenco è libero per tutti, ricercatori e organizzazioni simili.”
Ciò che è sulla lista?
Anche se il MAC elenco è stato reso pubblico oggi per la prima volta in un testo non crittografato versione, il suo contenuto non è mai stato un segreto.
Le liste contenenti gli indirizzi MAC in una versione hash sono state andando in giro per il web per tutta la settimana, ad esempio, questa versione caricato su GitHub.
Altre aziende di sicurezza, come Qihoo 360, erano già analizzando anche prima di oggi. ZDNet ha ricevuto anche un chiaro copia all’inizio di questa settimana e aveva cercato in fornitori i cui indirizzi MAC sono stati inclusi nella lista.
Immagine: Qihoo 360
×
asus-mac-list-vendors.jpg
La stragrande maggioranza di questi indirizzi MAC appartengono alle grandi società ASUStek, Intel, e AzureWave. Quasi tutti i fornitori inclusi nell’elenco, anche quelli che erano solo una manciata di indirizzi MAC mirati, sono i creatori di WiFi in grado dispositivi.
Un insider del settore detto a ZDNet che, mentre questo potrebbe suggerire che lo scopo dell’Operazione ShadowHammer (il nome in codice dato alla ASUS hack) potrebbe essere di fare riferimento a determinati tipi di WiFi in grado sistemi, il piccolo numero di indirizzi MAC che gli hacker selezionato in realtà si rivela il punto opposto-che sono stati dopo aver selezionato obiettivi, piuttosto che di massa-targeting generico WiFi-dispositivi di come un intero.
Attaccanti sapeva esattamente ciò che voleva hack
Costin Raiu, uno di Kaspersky Lab, i ricercatori coinvolti nel ShaddowHammer indagine, anche detto a ZDNet che nessun conclusioni possono essere tratte da questo elenco MAC.
Gli aggressori possono determinare l’indirizzo MAC di un dispositivo senza compromettere, attraverso una tecnica chiamata la scansione in rete.
Riu detto che l’obiettivo della lista è stato probabilmente messo insieme dopo le operazioni di riconoscimento in precedenti attacchi, e sarà quasi impossibile dire che gli hacker mirati. Solo i produttori di dispositivi sarebbe in grado di rispondere a queste domande, e soprattutto di ASUS.
Inoltre, ci sono stati diversi backdoored versioni del Live Update software, ognuno rivolto a diversi indirizzi MAC. A volte questi elenchi erano piccoli, e a volte contenevano centinaia di voci, come è stato evidenziato da entrambi Kaspersky e F-Secure analisi pubblicata oggi.
Questo dimostra che gli hacker di targeting cambiato con il passare del tempo, e come si sia compromesso desiderato vittime, o realizzato alcuni degli obiettivi irraggiungibili. Questo suggerisce anche che gli hacker avevano il pieno controllo su ASUS infrastrutture per mesi,e distribuito in diversi Live Update payload per l’utilizzo in molteplici operazioni, e non uno solo.
In altri casi, gli hacker hanno voluto infettare i dispositivi che aveva due indirizzi MAC, al tempo stesso, confermando la teoria che gli hacker sapeva in anticipo che cosa volevano di destinazione, e sono stati semplicemente utilizzando il driver ASUS Live Update tool come un trampolino di punto desiderato sistemi.
In alcuni casi, il #shadowhammer backdoor controlla sia la scheda di rete e adattatore WiFi Mac per identificare la vittima per un ulteriore sfruttamento. Seconda fase viene distribuito solo se entrambi gli indirizzi partita. E ‘ stato davvero mirati.
— Costin Raiu (@craiu) 26 Marzo 2019
Da F-Secure report:
1) 0c:5b:8f:27:9a:64, che è stato trovato in 8 campioni, sembra essere un Huawei wireless indirizzo del chip. Non è assegnato a Huawei, ma sembra di essere utilizzato nel Huawei E3372 dispositivi, che è un 4G USB stick. Questo particolare indirizzo MAC è sempre controllato con una specifica Asustek Computer Inc. Indirizzo MAC.
2) 00ff5eXXXXXX è sempre controllato con VMWare indirizzo MAC, il che suggerisce che questo indirizzo MAC viene utilizzato in ambienti virtualizzati.
Ma in altri casi, il targeting è stato del tutto fuori strada. Questo non perché gli hacker’ errore, ma perché diversi fornitori di hardware riutilizzato lo stesso indirizzo MAC di migliaia di dispositivi.
Mi chiedo anche quanti Huawei clienti sono stati inavvertitamente colpito dalla ASUS-consegnato malware perché Huawei a quanto pare ha deciso che utilizzando un unico indirizzo MAC di ogni dispositivo era troppo lavoro. pic.twitter.com/h3jQicfglb
— Si Dorman (@wdormann) 29 Marzo 2019
A quanto pare, uno dei Mac di mira da #ShadowHammer è utilizzato in migliaia di host: VMware VMNet8 adattatore con predefinito di MAC 00:50:56:C0:00:08. Se hai uno di quelli – non freak out. Si erano probabilmente è solo una garanzia di destinazione. Controllare se è stato eseguito l’ASUS Live Updater nel 2018.
— Vitaly Kamluk (@vkamluk) 26 Marzo 2019
Un altro caso è 0C:5B:8F:27:9A:64. Questo è utilizzato da Huawei E3772 USB 4G dongle e sembra essere la stessa per tutti i possessori di tali dispositivi. Sembra #ShadowHammer targeting non era accurata, in alcuni casi, e potrebbe essere causa di imprevisti di infezioni.
— Vitaly Kamluk (@vkamluk) 26 Marzo 2019
Che cosa tutto questo, dice un osservatore esterno è che l’Operazione ShadowHammer sembra l’ultima tappa di una più ampia operazione di hacking che probabilmente è iniziato con le operazioni di riconoscimento mesi prima dell’effettivo ASUS hack.
Kaspersky ha detto che gli hacker smesso di fornire un backdoored versione del Live Update tool lo scorso novembre, suggerendo che gli hacker potrebbero aver violato gli obiettivi erano dopo e spostati in altre operazioni da allora.
ASUS ha rilasciato una nuova versione di Live Update tool inizio di questa settimana.
Più sicurezza informatica copertura:
Francese stazioni di gas derubato dopo dimenticando di cambiare pompa a gas Piedini
Microsoft prende il controllo del 99 domini gestiti da Iraniani stato hackersNorth coreano gli hacker continuano gli attacchi su cryptocurrency businessesTop scuro web marketplace, sarà chiuso il mese prossimo
Report ritiene Russia un pioniere nel GPS spoofing attacksToyota annuncia la seconda violazione della sicurezza, negli ultimi cinque weeksWe invitati professionale hacker per attaccare noi CNET
Il 3 meno sicuro linguaggi di programmazione TechRepublic
Argomenti Correlati:
Hardware
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati