Asus finalmente emitió una declaración hoy (26 de marzo) sobre la piratería de sus propios servidores de actualización de firmware, más de 24 horas después de que Vice Motherboard y Kaspersky Lab revelaran públicamente el problema y casi dos meses después de que Kaspersky Lab notificara a Asus que sus servidores habían sido pirateados. .
Crédito: Roman Arbuzov / Shutterstock
"Se ha implantado un pequeño número de dispositivos con código malicioso a través de un ataque sofisticado en nuestros servidores Live Update en un intento de apuntar a un grupo de usuarios muy pequeño y específico", dijo un comunicado de la compañía. "El servicio al cliente de Asus se ha acercado a los usuarios afectados y les ha brindado asistencia para garantizar que se eliminen los riesgos de seguridad".
Al menos 70.000 dispositivos Asus han sido infectados con el firmware Asus dañado, como documentaron Kaspersky Lab y Symantec, que obtuvieron los números de las PC que ejecutan el software antivirus de esas empresas. Los investigadores de Kaspersky Lab estiman que un millón de computadoras Asus en todo el mundo pueden haber sido infectadas, lo que podría decirse que no es una cantidad pequeña.
Asus dijo en su comunicado de prensa que ha tomado medidas para reforzar la seguridad de su proceso de actualización, pero no mencionó cómo los atacantes, que se cree que son un grupo de piratas informáticos de habla china con vínculos con el gobierno chino, lograron Irrumpir en los servidores de Asus y robar certificados de firma digital de Asus que validaron el malware como legítimo.
"Asus también ha implementado una corrección en la última versión (ver. 3.6.8) del software Live Update, introdujo múltiples mecanismos de verificación de seguridad para evitar cualquier manipulación maliciosa en forma de actualizaciones de software u otros medios, e implementó un sistema final mejorado. mecanismo de cifrado de extremo a extremo ", decía el comunicado de prensa. "Al mismo tiempo, también hemos actualizado y reforzado nuestra arquitectura de software de servidor a usuario final para evitar que se produzcan ataques similares en el futuro".
Entre junio y noviembre de 2022-2023, el malware se entregó a las computadoras Asus en todo el mundo directamente desde los propios servicios de actualización de firmware de Asus. El malware crea una "puerta trasera" que permite descargar e instalar más malware sin la autorización del usuario.
Sin embargo, el malware permanece inactivo en casi todos los sistemas, y se activa solo en PC individuales específicamente dirigidas cuyas direcciones MAC (identificadores únicos para cada puerto de red) coinciden con las de las listas codificadas integradas directamente en el malware.
Los investigadores de Kaspersky identificaron alrededor de 600 direcciones MAC en las listas de resultados, lo que de hecho es un "pequeño grupo de usuarios". Pero los detalles aún no están claros, ya que no sabemos a quién se dirige exactamente el malware o cómo ingresaron los atacantes a los servidores de actualización de Asus.
Asus también lanzó una "herramienta de diagnóstico de seguridad para verificar los sistemas afectados" que se puede descargar en https://dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip.
Eso complementa una herramienta de Kaspersky Lab que verifica la presencia del malware y una página web de Kaspersky Lab donde puede verificar si alguna de las direcciones MAC de red de su PC Asus está en la lista de ataques del malware.
Los investigadores de Kaspersky dijeron que notificaron a Asus sobre el problema el 31 de enero, pero le dijeron a Kim Zetter de Motherboard que Asus inicialmente negó que sus servidores hubieran sido pirateados.