المتسللين يسيئون استخدام خدمة سحابة ASUS لتثبيت مستتر على أجهزة كمبيوتر المستخدمين

أفاد باحثون من شركة Eset في وقت سابق من هذا الأسبوع أن آلية تحديث ASUS 'تم إساءة استخدامها مرة أخرى لتثبيت البرامج الضارة التي تعمل في أجهزة الكمبيوتر الخلفية. وقال الباحثون ، الذين يواصلون التحقيق في الحادث ، إنهم يعتقدون أن الهجمات ناتجة عن هجمات رجل في منتصف جهاز التوجيه تستغل اتصالات HTTP غير الآمنة بين المستخدمين النهائيين وخوادم ASUS ، إلى جانب توقيع الكود غير المكتمل للتحقق من الصحة. صحة الملفات المستلمة قبل تنفيذها.

Plead ، كما هو معروف البرمجيات الخبيثة ، هو عمل المتسللين التجسس تدعو تريند مايكرو مجموعة BlackTech ، التي تستهدف الوكالات الحكومية والمؤسسات الخاصة في آسيا. في العام الماضي ، استخدمت المجموعة شهادات قانونية لتوقيع الأكواد المسروقة من شركة D-Link الخاصة بجهاز التوجيه لمصادقة نفسها بشكل جدير بالثقة. قبل ذلك ، استخدمت BlackTech Group رسائل بريد إلكتروني للتصيد الاحتيالي وأجهزة التوجيه الضعيفة لتكون بمثابة خوادم أوامر وتحكم لبرامجها الضارة.

في أواخر الشهر الماضي ، لاحظ باحثو Eset أن مجموعة BlackTech كانت تستخدم طريقة جديدة وغير عادية للتسلل إلى أجهزة الكمبيوتر الخاصة بالأهداف. وصل الباب الخلفي في ملف اسمهASUS Webstorage Upate.exeالمدرجة في التحديث من ASUS. وأظهر تحليل أن العدوى يجري إنشاؤها وتنفيذهاAsusWSPanel.exe، وهي عملية Windows شرعية تابعة لـ ASUS WebStorage وتوقيعها رقميًا. كما يوحي الاسم ، ASUS WebStorage هي خدمة سحابية يقدمها صانع الكمبيوتر لتخزين الملفات. نشرت Eset نتائجها يوم الثلاثاء.

إساءة شرعيةAsusWSPanel.exeأثار احتمال أن يكون صانع الكمبيوتر قد وقع في هجوم آخر لسلسلة التوريد كان يختطف عملية التحديث لتثبيت الخلفيات الخلفية على أجهزة كمبيوتر المستخدم النهائي. في النهاية ، استبعد باحثو إيتس هذه النظرية لثلاثة أسباب:

    • نفس آلية التحديث المشتبه بها كانت تقوم أيضًا بتسليم ثنائيات ASUS WebStorage الشرعية
    • لم يكن هناك دليل على استخدام خوادم ASUS WebStorage كخوادم تحكم أو تقديم ثنائيات ضارة
    • استخدم المهاجمون ملفات البرامج الضارة المستقلة بدلاً من دمج أدواتهم الضارة داخل برنامج ASUS الشرعي

نظرًا لأن الباحثين نظروا في سيناريوهات بديلة ، فقد لاحظوا أن برنامج ASUS WebStorage عرضة لهجمات الرجل المتوسط ​​، حيث يقوم المتسللون الذين يتحكمون في اتصال بالعبث بالبيانات التي تمر عبره. لقد توصل الباحثون إلى هذا القرار لأن التحديثات مطلوبة ويتم نقلها باستخدام اتصالات HTTP غير المشفرة ، بدلاً من اتصالات HTTPS التي تكون محصنة ضد هذه الاستغلالات. لاحظ الباحثون كذلك أن برنامج ASUS لم يتحقق من صحته قبل التنفيذ. ترك ذلك الباب مفتوحًا لاحتمال قيام BlackTech Group باعتراض عملية تحديث ASUS واستخدامها لدفع Plead بدلاً من ملف ASUS الشرعي.

لاحظ الباحثون أيضًا أن معظم المنظمات التي تلقت ملف Plead من ASUS WebStorage كانت تستخدم أجهزة التوجيه التي صنعتها نفس الشركة المصنعة. تحتوي أجهزة التوجيه ، التي رفض "إيتس" تحديدها أثناء بحثها عن الحالة ، على لوحات إدارة يمكن الوصول إليها عبر الإنترنت. مما ترك الباب مفتوحًا أمام احتمال أن يكون هجوم MitM ناتجًا عن إعدادات أنظمة أسماء النطاقات الخبيثة التي يتم إجراؤها على أجهزة التوجيه أو شيء أكثر تعقيدًا ، مثل العبث باستخدام iptables.

بعد ذلك تحولت نظرية عمل Eset من اختراق مجموعة BlackTech لشبكة ASUS وتنفيذ هجوم سلسلة التوريد إلى المهاجمين الذين يقومون بهجوم MitM على آلية التحديث غير الآمنة الخاصة بـ ASUS. في الواقع ، كما هو موضح أدناه في لقطة شاشة للتواصل الملتقط أثناء تحديث برنامج ASUS WebStorage الضار ، قام المهاجمون باستبدال عنوان URL الخاص بـ ASUS الشرعي باسم واحد من موقع حكومة تايوانية معرض للخطر.

في رسالة بريد إلكتروني ، قال الباحث الرئيسي في البرامج الضارة في Eset Anton Cherepanov إن الاتصال الذي تم التقاطه ليس دليلًا على وجود MitM.

وكتب "من المحتمل أن يكون المهاجمون قد تمكنوا من الوصول إلى خوادم ASUS WebStorage ودفعوا XML باستخدام رابط خبيث فقط لعدد صغير من أجهزة الكمبيوتر. ولهذا السبب نقول إنها لا تزال ممكنة. لا يمكننا استبعاد هذه النظرية."

ولكن للأسباب المذكورة أعلاه ، يعتقد أن سيناريو MitM هو الأرجح.

إجمالاً ، احتسب Eset حوالي 20 جهاز كمبيوتر يتلقى تحديث ASUS الضار ، لكن هذا الرقم لا يشمل سوى عملاء الشركة. وقال أنطون تشيريبانوف ، الباحث البارز في البرامج الضارة في شركة Eset ، لـ Ars: "ربما يكون الرقم الحقيقي أعلى إذا نظرنا في أهداف ليست من مستخدمينا".

بمجرد تنفيذ الملف ، يقوم بتنزيل صورة من خادم آخر يحتوي على ملف قابل للتنفيذ مشفر مخفي في الداخل. بمجرد فك تشفيره ، يتم إسقاط الملف القابل للتنفيذ الخبيث في مجلد قائمة ابدأ في Windows ، حيث يتم تحميله في كل مرة يسجل فيها المستخدم الدخول.

من المفاجئ أنه حتى بعد هجوم سلسلة التوريد الخطير الذي يقدر أنه قد أصاب ما يصل إلى مليون مستخدم ، كانت الشركة لا تزال تستخدم اتصالات HTTP غير المشفرة لتقديم التحديثات. أرسل آرس ممثلين لوسائل الإعلام في ASUS رسالتين يطلبون التعليق على هذا المنشور. حتى الآن لم يردوا بعد. في منشور مدونة تم إرساله عبر اتصال HTTP غير مشفر ، أبلغت ASUS عن "حادثة أمان WebStorage" نصها:

علمت ASUS Cloud لأول مرة عن حادث وقع في أواخر أبريل 2019 ، عندما تم الاتصال بنا من قبل أحد العملاء بقلق أمني. عند معرفة الحادث ، اتخذت ASUS Cloud إجراءً فوريًا للتخفيف من الهجوم بإغلاق خادم تحديث ASUS WebStorage ووقف إصدار كافة إعلامات تحديث ASUS WebStorage ، وبالتالي إيقاف الهجوم بشكل فعال.

استجابة لهذا الهجوم ، قامت ASUS Cloud بتجديد بنية المضيف لخادم التحديث ونفذت تدابير أمنية تهدف إلى تعزيز حماية البيانات. هذا سيمنع هجمات مماثلة في المستقبل. ومع ذلك ، توصي ASUS Cloud بشدة أن يقوم مستخدمو خدمات ASUS WebStorage فوراً بإجراء فحص كامل للفيروسات لضمان سلامة بياناتك الشخصية.

المنشور لا يقول ما هي تلك التدابير الأمنية. كما أنه لا يشير إلى اكتشاف Eset أن الخدمة قد تم إساءة استخدامها لتثبيت البرامج الضارة. وإلى أن يقول خبراء أمنيون مستقلون أن الموقع آمن للاستخدام ، فإن الأشخاص سيفعلون ما يرام لتجنبه.

شاهد الفيديو: فضيحة الشرطة السودانية : تصرف خطير جدا (أبريل 2020).