A Asus finalmente emitiu uma declaração hoje (26 de março) sobre a invasão de seus próprios servidores de atualização de firmware, mais de 24 horas após o Vice Motherboard e a Kaspersky Lab divulgarem publicamente o problema e quase dois meses após a Kaspersky Lab notificar a Asus de que seus servidores foram invadidos .
Crédito: Roman Arbuzov / Shutterstock
"Um pequeno número de dispositivos foi implantado com código malicioso por meio de um ataque sofisticado em nossos servidores Live Update na tentativa de atingir um grupo de usuários muito pequeno e específico", disse um comunicado da empresa. "O atendimento ao cliente da Asus tem procurado os usuários afetados e fornecido assistência para garantir que os riscos de segurança sejam removidos."
Pelo menos 70.000 dispositivos Asus foram infectados com o firmware Asus corrompido, conforme documentado pela Kaspersky Lab e Symantec, que obteve os números de PCs que executam o software antivírus dessas empresas. Os pesquisadores da Kaspersky Lab estimam que um milhão de computadores Asus em todo o mundo podem ter sido infectados, o que provavelmente não é um número pequeno.
A Asus disse em seu comunicado à imprensa que tomou medidas para reforçar a segurança do seu processo de atualização, mas não fez nenhuma menção de como os invasores - considerados uma equipe de hackers que falam chinês e com laços com o governo chinês - conseguiram invadir os servidores da Asus e roubar certificados de assinatura digital da Asus que validavam o malware como legítimo.
"A Asus também implementou uma correção na versão mais recente (ver. 3.6.8) do software Live Update, introduziu vários mecanismos de verificação de segurança para evitar qualquer manipulação maliciosa na forma de atualizações de software ou outros meios, e implementou um fim aprimorado mecanismo de criptografia de ponta a ponta ", disse o comunicado à imprensa. "Ao mesmo tempo, também atualizamos e fortalecemos nossa arquitetura de software de servidor para usuário final para evitar que ataques semelhantes aconteçam no futuro."
Entre junho e novembro de 2022-2023, o malware foi entregue aos computadores Asus em todo o mundo diretamente dos próprios serviços de atualização de firmware da Asus. O malware cria um "backdoor" que permite que mais malwares sejam baixados e instalados sem a autorização do usuário.
No entanto, o malware permanece adormecido em quase todos os sistemas, ativando-se apenas em PCs individuais especificamente direcionados cujos endereços MAC - identificadores exclusivos para cada porta de rede - correspondem aos das listas codificadas embutidas no malware.
Os pesquisadores da Kaspersky identificaram cerca de 600 endereços MAC nas listas de ocorrências, o que é de fato um "pequeno grupo de usuários". Mas as especificações ainda não estão claras, pois não sabemos exatamente quem é o alvo do malware, ou como os invasores entraram nos servidores de atualização da Asus.
A Asus também lançou uma "ferramenta de diagnóstico de segurança para verificar os sistemas afetados" que pode ser baixada em https://dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip.
Isso complementa uma ferramenta da Kaspersky Lab que verifica a presença de malware e uma página da Web da Kaspersky Lab onde você pode verificar se algum dos endereços MAC de rede do seu PC Asus está na lista de ocorrências do malware.
Os pesquisadores da Kaspersky disseram que notificaram a Asus sobre o problema em 31 de janeiro, mas disseram a Kim Zetter do Motherboard que a Asus inicialmente negou que seus servidores tivessem sido hackeados.