ShadowHammer恶意软件攻击 华硕响应

这是你永远不想发生的事情。来自卡巴斯基实验室的研究人员发现，黑客已经渗透到全球最大的计算机制造商之一华硕，并将后门“ShadowHammer”木马屏蔽为合法更新，然后通过华硕实时更新工具推送给用户。

华硕已经正式回应了这些声明，为用户发布诊断功能，检查他们的机器和新的安全补丁，以修复受影响的笔记本电脑。

根据研究人员的说法，供应链攻击使用被盗数字证书将恶意软件掩盖为合法的华硕更新，然后通过ASUS机器上预安装的ASUS实时更新工具进行分发。根据他们的统计数据，华硕机器上大约57,000名卡巴斯基用户在去年6月至11月的某个阶段下载并安装了受损版本的华硕Live Update。卡巴斯基只能计算安装了卡巴斯基反病毒软件的受影响用户，但他们断言“问题的真正规模”可能会影响全球数百万台华硕机器。

卡巴斯基于今年1月31日向华硕通报了他们的调查结果，主板 - 最初报告调查结果 -上周与华硕联系，要求回应研究人员的说法。Kotaku Australia周二联系华硕当地团队要求回复，并被告知当天晚些时候将发布官方声明。

官方回应今天早上在华硕网站上发布，台湾制造商称这次袭击来自“高级持续性威胁”组织，这些组织通常由民族国家运营。“高级持续威胁(APT)攻击是通常由几个特定国家发起的国家级攻击，针对某些国际组织或实体而非消费者，”该公司表示。

华硕对受影响的机器数量提出异议，称“只有极少数特定用户群被发现是这次攻击的目标”。

“通过对我们的实时更新服务器的复杂攻击，少数设备已被植入恶意代码，企图以非常小的特定用户群为目标，”华硕写道，没有提供有关该用户组的详细信息。

然而，这篇文章并没有完全挑战卡巴斯基的一些主张。研究人员声称这次攻击已经导致数百万台PC受到攻击，但他们指出，负责黑客主要集中在瞄准选定机器上。

虽然这意味着受影响的软件中的每个用户都可能成为受害者，但ShadowHammer背后的演员专注于获得他们之前所知的数百个用户的访问权限。正如卡巴斯基实验室的研究人员发现的那样，每个后门代码都包含一个硬编码MAC地址表 - 用于将计算机连接到网络的网络适配器的唯一标识符。一旦在受害者的设备上运行，后门就会根据此表验证其MAC地址。

如果MAC地址与其中一个条目匹配，则恶意软件会下载下一阶段的恶意代码。否则，渗透的更新程序没有显示任何网络活动，这就是为什么它在这么长时间内仍然未被发现。总的来说，安全专家能够识别600多个MAC地址。这些是针对超过230个具有不同shellcode的独特后门样本的目标。

卡巴斯基研究人员将在下个月在新加坡举行的2019年安全分析师峰会上展示他们关于Operation ShadowHammer的更多调查结果。该公司还建立了一个网站，供用户检查其机器中的MAC地址是否受到损害。