Logo: ASUS // Composition: ZDNet
×
asus.png
Les chercheurs en sécurité de puits de lumière Cyber ont publié aujourd’hui une liste contenant les 583 adresses MAC que les pirates avaient ciblé à l’aide de la récente ASUS hack.
La Lucarne de l’équipe a obtenu cette liste par ingénierie inverse d’une application Windows créées par les experts de Kaspersky Lab pour laisser ASUS utilisateurs de tester si leurs ordinateurs sont de l’intérêt pour les pirates.
L’ASUS hack qui s’est passé l’année dernière lors de présumés pirates Chinois violé l’ASUS infrastructure informatique et backdoored de la société Vivre outil de mise à Jour qui est installé sur tous les ordinateurs portables ASUS pour aider automatique des mises à jour du firmware.
Pas tous les utilisateurs ASUS ont été ciblés lors de ce hack. Le backdoored Vivre outil de mise à Jour serait seulement installer d’autres logiciels malveillants sur les ordinateurs qui ont une adresse MAC spécifique pour leurs interfaces réseau.
Lorsque l’ASUS hack devient publique plus tôt cette semaine, Kaspersky a publié une application qui permettrait de contrôler les ordinateurs des utilisateurs et de faire rapport sur les pirates ” très petite liste de cibles potentielles.
“Kaspersky était probablement distribution de ces [MAC] listes par le biais de leur service payant,” un puits de lumière Cyber porte-parole a dit ZDNet plus tôt aujourd’hui. “Maintenant, le unhashed liste est libre pour tout le monde, des chercheurs et des organisations.”
Ce qui est sur la liste?
Bien que le MAC de la liste a été rendue publique aujourd’hui pour la première fois dans un texte clair version, son contenu n’a jamais été un secret.
Listes contenant les adresses MAC dans une version hachée ont tourne sur le web toute la semaine, par exemple, cette version téléchargé sur GitHub.
D’autres entreprises de sécurité, comme Qihoo 360, étaient déjà de les analyser avant même d’aujourd’hui. ZDNet a également reçu copie d’un texte clair, plus tôt cette semaine et a été à la recherche dans les fournisseurs dont les adresses MAC ont été inclus sur la liste.
Image: Qihoo 360
×
asus-mac-list-vendors.jpg
La grande majorité de ces adresses MAC appartiennent à de grandes entreprises ASUStek, Intel, et AzureWave. Presque tous les fournisseurs inscrits sur la liste, même ceux qui ont juste une poignée de MAC adresses ciblées, sont responsables de WiFi appareils compatibles.
Un initié de l’industrie a dit à ZDNet que tout ceci pourrait suggérer que le but de l’Opération ShadowHammer (le nom de code donné à l’ASUS hack) est peut-être de cibler certains types de WiFi capable de systèmes, le petit nombre d’adresses MAC que les pirates sélectionné en réalité prouve le contraire et qu’ils ont été sélectionnés objectifs, plutôt que la masse de ciblage générique WiFi périphériques capables de travailler ensemble.
Les attaquants savait exactement qui ils voulaient hack
Costin Raiu, l’un des Kaspersky Lab chercheurs impliqués dans le ShadowHammer enquête, a également déclaré à ZDNet que ne peut tirer aucune conclusion à partir de ce MAC liste.
Les attaquants peuvent déterminer l’adresse MAC d’un périphérique sans les compromettre, grâce à une technique appelée la numérisation en réseau.
Raiu, a déclaré la liste des cibles était le plus susceptible de mettre ensemble après des opérations de reconnaissance dans les précédentes attaques, et il sera presque impossible de dire qui des pirates ciblées. Seuls les fournisseurs d’appareils seraient en mesure de répondre à ces questions, et surtout d’ASUS.
En outre, il y a eu différentes backdoored versions de la mise à Jour du logiciel, chaque ciblage des adresses MAC différentes. Parfois, ces listes étaient petites, et parfois ils contenaient des centaines d’entrées, comme l’a souligné par les deux Kaspersky et F-Secure analyse publiée aujourd’hui.
Cela montre que les pirates de ciblage a changé dans le temps, et qu’ils soit compromis souhaité victimes, de les réaliser certains objectifs serait inaccessible. Cela suggère aussi que les pirates avaient le plein contrôle sur ASUS infrastructure pendant des mois,et déployé des différentes mise à Jour en Direct des charges pour une utilisation dans de multiples opérations, et non pas un seul.
Dans d’autres cas, les pirates voulaient infecter les appareils qu’ils ont deux adresses MAC dans le même temps, confirmant la théorie que les pirates savaient à l’avance ce qu’ils voulaient à la cible, et étaient simplement à l’aide de l’ASUS Live Update outil comme un point de saut d’obstacles dans les systèmes.
Dans certains cas, le #shadowhammer backdoor vérifie à la fois la carte et adaptateur WiFi Mac afin d’identifier la victime pour la poursuite de l’exploitation. La deuxième étape est déployé uniquement si les deux adresses de correspondance. C’était vraiment ciblées.
— Costin Raiu (@craiu) le 26 Mars 2019
De F-Secure rapport:
1) 0c:5b:8f:27:9a:64, qui a été trouvé dans 8 échantillons, semble être un Huawei puce sans fil adresse. Il n’est pas affecté à Huawei, mais on dirait qu’il est utilisé dans Huawei E3372 périphériques, ce qui est une clé USB 4G. Cette adresse MAC est toujours vérifié avec un spécifique Asustek Computer Inc. L’adresse MAC.
2) 00ff5eXXXXXX est toujours vérifié avec un VMWare adresse MAC, ce qui suggère que cette adresse MAC est utilisée dans les environnements virtualisés.
Mais dans d’autres cas, le ciblage a été mis en place. Ce n’est pas parce que des pirates’ erreur, mais parce que plusieurs fournisseurs de matériel réutilisé la même adresse MAC pour des milliers de périphériques.
Je me demande aussi combien de Huawei clients ont été affectées par inadvertance par le ASUS-livré malware parce que Huawei apparemment décidé que l’utilisation unique adresses MAC de chaque appareil était trop de travail. pic.twitter.com/h3jQicfglb
— Will Dormann (@wdormann) le 29 Mars 2019
Apparemment, l’un des MACs ciblés par #ShadowHammer est utilisé sur des milliers d’hôtes: c’est VMware VMNet8 adaptateur avec MAC par défaut 00:50:56:C0:00:08. Si vous avez un de ces – pas de panique. Vous avez probablement été juste un nantissement de cible. Vérifiez si vous avez exécuté ASUS Live de mise à jour en 2018.
— Vitaly Kamluk (@vkamluk) le 26 Mars 2019
Un autre cas est 0C:5B:8F:27:9A:64. Celui-ci est utilisé par Huawei E3772 USB 4G dongle et semble être la même pour tous les propriétaires de ces appareils. Ressemble à #ShadowHammer ciblage n’était pas précise, dans certains cas, et pourrait causer des imprévus infections.
— Vitaly Kamluk (@vkamluk) le 26 Mars 2019
Ce que tout cela dit les observateurs externes, c’est que l’Opération ShadowHammer semble à la dernière étape d’une vaste opération de piratage que le plus probable a commencé avec des opérations de reconnaissance mois avant l’ASUS hack.
Kaspersky a déclaré que les pirates cessé de livrer un backdoored version Live de l’outil de mise à Jour en novembre dernier, ce qui suggère que les pirates pourraient avoir piraté les objectifs qu’ils ont été après et a déménagé à d’autres opérations, depuis.
ASUS a sorti une version propre de la Vivre outil de mise à Jour plus tôt cette semaine.
Plus de la cybersécurité de la couverture:
Gaz de france des stations de volée après l’oubli de changement de gaz de la pompe à Broches
Microsoft prend le contrôle de 99 domaines exploités par l’état Iranien hackersNorth coréen pirates continuent les attaques sur cryptocurrency businessesTop sombre web marché s’arrête le mois prochain
Rapport de juge à la Russie un pionnier dans le GPS de l’usurpation d’attacksToyota annonce une deuxième violation des règles de sécurité au cours des cinq dernières weeksWe invités professionnel les pirates pour attaquer les américains de CNET
Les 3 moins sûr langages de programmation TechRepublic
Rubriques Connexes:
Matériel
De sécurité de la TÉLÉVISION
La Gestion Des Données
CXO
Les Centres De Données