Logotyp: ASUS // Sammansättning: ZDNet
×
asus.png
Säkerhet forskare från Takfönster It har idag offentliggjort en lista som innehåller 583 MAC-adresser att hackare hade riktat hjälp av den senaste tidens ASUS hack.
Takfönstret laget fått denna lista genom reverse engineering en Windows-app som skapats av Kaspersky Lab att låta ASUS användare testa om deras datorer var av intresse för hackare.
ASUS hack som hände förra året när misstänkt Kinesiska hackare har brutit mot ASUS IT-infrastruktur och backdoored bolagets Live Update tool som är installerat på alla ASUS bärbara datorer för att hjälpa till med automatiska uppdateringar.
Inte alla användare ASUS som riktades under denna hack. Den backdoored Live Update-funktionen skulle bara installera ytterligare skadlig kod på vissa datorer som hade en specifik MAC-adress för sina nätverkskort.
När ASUS hacka bli offentliga tidigare i veckan, Kaspersky publicerat en app som skulle kontrollera användarnas datorer och rapportera om de var på hackare som ” mycket liten lista över potentiella mål.
“Kaspersky var nog distribution av dessa [MAC] listor genom deras betaltjänst,” ett Takfönster It-talesperson berättade ZDNet tidigare idag. “Nu, unhashed listan är gratis för alla att använda, forskare och organisationer.”
Vad är det med på listan?
Även om MAC lista offentliggjordes idag för första gången i klartext version, dess innehåll var aldrig en hemlighet.
Listor som innehåller MAC-adresser i en hashad version har gått runt på nätet, alla dagar i veckan, till exempel, denna version laddas upp på GitHub.
Andra säkerhetsföretag, som Qihoo 360, var redan analysera det även innan idag. ZDNet också fått en klartext kopiera tidigare i veckan och hade letat i de leverantörer vars MAC-adresser finns med på listan.
Bild: Qihoo 360
×
asus-mac-list-vendors.jpg
De allra flesta av dessa MAC-adresser som hör till stora företag ASUStek, Intel, och AzureWave. Nästan alla leverantörer finns med på listan, även de som hade bara en handfull av MAC-adresser riktade, är tillverkare av Wi-fi-kompatibla enheter.
En industri insider berättade ZDNet att medan detta kan tyda på att syftet med Verksamheten ShadowHammer (kodnamn med tanke på att ASUS hack) skulle kunna vara att rikta vissa typer av WiFi kan system, det lilla antalet MAC-adresser som hackare valda faktiskt bevisar motsatsen poängen-att de var ute efter vald mål, snarare än massa-inriktning generiska Wi-fi-kompatibla enheter som helhet.
Angriparna visste exakt som de ville att hacka
Costin Raiu, en av Kaspersky Lab-forskare medverkar i ShaddowHammer undersökning, som också berättade ZDNet att inga slutsatser kan dras från detta MAC-lista.
Angripare kan bestämma MAC-adress till en enhet utan att kompromissa med det, genom en teknik som kallas för nätverksskanning.
Riu sa målet listan var troligen sätta ihop efter spaning verksamhet i tidigare attacker, och det kommer att vara nästan omöjligt att säga vem som hackare riktat. Endast den enhet som leverantörer skulle kunna svara på dessa frågor, och särskilt ASUS.
Dessutom har det funnits olika backdoored versioner av Live update software (Uppdatera programvara, alla inriktade på olika MAC-adresser. Ibland kan dessa listor var små, och ibland är de som finns hundratals bidrag, som lyftes fram av både Kaspersky och F-Secure-analys som publiceras i dag.
Detta visar att hackare inriktning förändrats allt eftersom tiden gick, och som de antingen äventyras önskat offer, eller insåg att vissa mål skulle vara oåtkomlig. Detta tyder också på att hackare hade full kontroll över ASUS infrastruktur för månader,och distribueras olika Live Update lasten att använda i flera operationer, och inte bara en.
I andra fall, hackare ville att infektera enheter som hade två MAC-adresser på samma gång, vilket bekräftar teorin om att hackare visste i förväg vad de ville mål, och var bara med hjälp av ASUS Live Update-funktionen som en hoppande punkten till önskat system.
I vissa fall, #shadowhammer bakdörr kontrollerar både NIC-och WiFi-adapter Mac-datorer för att identifiera offer för ytterligare exploatering. Andra steget är att avsättas endast om båda adresserna match. Det var verkligen som riktade sig till.
— Costin Raiu (@craiu) Mars 26, 2019
Från F-Secure rapport:
1) 0c:5b:8f:27:9a:64, som hittades i 8 prover, som verkar vara en Huawei wireless chip adress. Det är inte tilldelad till Huawei, men ser ut som det används i Huawei E3372 enheter, vilket är ett 4G-USB-stick. Denna speciella MAC-adress kontrolleras alltid tillsammans med en särskild Asustek Computer Inc. MAC-adress.
2) 00ff5eXXXXXX är alltid kontrolleras tillsammans med en VMWare-MAC-adress, vilket tyder på att denna MAC-adress används i virtualiserade miljöer.
Men i andra fall, den inriktning som var på väg ut. Detta var inte på grund av hackare’ misstag, men eftersom flera leverantörer hårdvara återanvändas samma MAC-adress för tusentals enheter.
Jag undrar också hur många Huawei kunder var oavsiktligt påverkas av ASUS-levereras malware eftersom Huawei tydligen bestämt sig för att med hjälp av unika MAC-adresser för varje enhet var för mycket arbete. pic.twitter.com/h3jQicfglb
— Kommer Dormann (@wdormann) 29 Mars, 2019
Tydligen en av de Mac-datorer riktade #ShadowHammer används på tusentals sebaot: det är VMware VMNet8 adapter med standard MAC 00:50:56:C0:00:08. Om du fick en av dem – inte missfoster reda på. Du var nog bara en säkerhet målet. Kontrollera om du har kört ASUS Live Updater 2018.
— Vitaly Kamluk (@vkamluk) Mars 26, 2019
Ett annat fall är 0C:5B:8F:27:9A:64. Detta används av Huawei E3772 USB-4G-dongel och verkar vara samma för alla ägare av sådana anordningar. Ser ut som #ShadowHammer inriktning inte var korrekt i vissa fall och kan orsaka oplanerade infektioner.
— Vitaly Kamluk (@vkamluk) Mars 26, 2019
Vad allt detta berättar externa observatörer är att Verksamheten ShadowHammer verkar den sista etappen i en större hacka operation som sannolikt började med spaning verksamhet månader innan själva ASUS hack.
Kaspersky sa att hackare slutat att leverera en backdoored version av Live Update-funktionen i November förra året, vilket tyder på att hackare kan ha hackat mål som de var ute efter och flyttade till övrig verksamhet sedan dess.
ASUS har släppt en ren version av Live Update tool tidigare i veckan.
Mer cybersäkerhet täckning:
Franska bensinstationer rånad efter att glömma att ändra gas pump Stift
Microsoft tar kontroll över 99 domäner som drivs av Iranska staten hackersNorth koreanska hackare fortsätter attacker på cryptocurrency businessesTop mörka webben marknaden kommer att stängas av nästa månad
Rapporten bedömer att Ryssland en pionjär i GPS-spoofing attacksToyota meddelar andra brott mot säkerheten i de senaste fem weeksWe inbjudna professionella hackare att attackera oss CNET
3 minst säkra programmeringsspråk TechRepublic
Relaterade Ämnen:
Hårdvara
Säkerhet-TV
Hantering Av Data
CXO
Datacenter