Backdoor malware treft opnieuw updatemechanisme Asus

Het updatemechanisme van Asus is opnieuw misbruikt voor het installeren van een backdoor. Kwaadwillenden kunnen hiermee malware installeren op computers waar de besmette software op staat. De aanvallen zijn het resultaat van een router-level man-in-the-middle aanval genaamd Plead. Deze maakt gebruik van onveilige HTTP-verbindingen tussen eindgebruikers en Asus-servers, aldus Ars Technica.

Bovendien zou ook een onvolledige code-signing een rol spelen, waarbij bestanden onvoldoende worden gecontroleerd op authenticiteit alvorens ze worden uitgevoerd Dit zeggen onderzoekers van het Slowaakse beveiligingsbedrijf Eset, die het misbruik eerder deze week aan het licht brachten.

BlackTech Group

Volgens Eset is Plead het werk van spionagehackers, die Trend Mirco benoemt als de BlackTech Group. De hackers richten zich op overheidsinstellingen en particuliere organisaties in Azië. Afgelopen jaar gebruikte de BlackTech Group legitieme code-ondertekeningscertificaten om zichzelf cryptografisch te authenticeren als betrouwbaar. De code bleek gestolen van router-maker D-Link.

In het verleden maakte de BlackTech Group gebruik van spear-phishing e-mails en kwetsbare routers. Deze dienden als command-and-control-servers voor zijn malware. Eind april merkten onderzoekers van Eset dat de groep een nieuwe en ongebruikelijke methode gebruikte om stiekem Plead op computers van doelwitten te installeren. De backdoor werd geleverd in een bestand genaamd Asus Webstorage Upate.exe, dat werd meegenomen in een update van Asus. Een analyse toonde aan dat infecties werden aangemaakt en uitgevoerd via AsusWSPanel.exe. Het is een legitiem Windows-proces, dat toebehoort aan- en digitaal werd ondertekend door AsusWebStorage: een door de computerfabrikant geboden cloudservice voor het opslaan van bestanden.

Niet-versleutelde HTTP-verbindingen

Volgens de onderzoekers is Asus WebStorage-software gevoelig voor man-in-the-middle aanvallen. Een tactiek waarbij hackers een verbinding controleren en knoeien met gegevens die daar doorheen gaan. Ze kwamen tot de ontdekking aangezien updates werden opgevraagd en overgedragen met niet-versleutelde HTTP-verbindingen in plaats van HTTPS-verbindingen, die immuun zijn voor dergelijke exploits. De Asus-software zou de authenticiteit niet valideren voordat updates werden uitgevoerd. De BlackTech Group kon langs deze weg het updateproces van Asus onderscheppen en het misbruiken om de malware Plead in plaats van het legitieme Asus-bestand te pushen.

Het mag dan ook verbazingwekkend worden genoemd dat de computerfabrikant na de recente supply chain-aanval nog steeds niet-versleutelde HTTP-verbindingen gebruikte om updates te leveren. Zeker gezien de recente aanval meer dan 1 miljoen gebruikers infecteerden. 

Asus laat in een schriftelijke verklaring weten inmiddels de nodige acties te hebben ondernomen.

 

Lees ook: Vodafone vond kwetsbaarheden in Huawei-apparatuur: backdoor of niet?