LINUX.ORG.RU

Asus и владельцев техники от Asus поимели

 , ,


3

3

Хотя новость напрямую к линуксу и не относится (Live Update работает в винде), но отымение случилось настолько мегаэпичное из-за доверия производителю (к тому же еще и биос ведь обновляется этим софтом), что о нем надо упомянуть. Ну и в принципе от чего-то подобного не застрахованы и в linux.

Плюс пример «как это бывает».

https://habr.com/ru/company/jetinfosystems/blog/445256/

Как сообщает «Лаборатория Касперского», хакеры из APT-группировки ShadowHammer 5 месяцев контролировали сервис обновлений ASUS Live Update и заразили более полумиллиона компьютеров по всему миру.

Исследователи из «Лаборатории Касперского» обнаружили, что в прошлом году злоумышленники взломали сервер ASUS, который отвечал за обновления программного обеспечения компании. Злоумышленники разместили на сервере вредоносный файл с бэкдором, подписанный валидным сертификатом ASUS.

Видно с целью за кем-то конкретным (судя по всему в России) пошпионить

Предполагается, что злоумышленники должны были скомпрометировать около 600 целей, которые идентифицировались по MAC-адресам компьютеров.

Но слегка облажались и заразили намного больше (около полумиллиона по данным Касперского). На чем, надо понимать и спалились. Иначе бы наверное вообще никем незамеченным все прошло и наверное проходит в каких-то других случаях...

★★★★★

Ответ на: комментарий от Deleted

Большинство компов заразили в РФ, более точной инфы пока нет, вроде у Касперского обещали в апреле рассказать на конференции подробнее.

praseodim ★★★★★ ()
Ответ на: комментарий от Deleted

Непонятно. Потенциально вроде ничего не мешало этому (кроме подписи уже самого биоса, но и тут возможны варианты). Вот здесь https://xakep.ru/2019/03/26/asus-live-update-hack/ немного больше инфы. Из любопытного:

Не менее интересен и тот факт, что зараженные версии апдейтера были подписаны двумя действительными сертификатами ASUSTeK Computer Inc. Один из них истек в середине 2018 года, и тогда атакующие переключились на второй, который до сих пор не был отозван.

8 апреля ЛК обещала предоставить подробный технический отчет.

praseodim ★★★★★ ()

У пользователей венды есть tinywall. Это линукс голой жопой подключается к интернету, позволяя любым приложениям делать что угодно.

/me выдохнул, с обновлялкой creative тоже была такая фигня уже, так что проблема не новая.

anonymous ()
Ответ на: комментарий от chenbr0

А ну надо в заголовке уточнить, что материнских плат, ноутбуков и прочих моноблоков. Телефоны и планшеты уже вряд ли.

Впрочем, в коментах на хабре высказали мысль, что поведение Asus такое, что напрашивается мысль, что это и не взлом был. Они до сих пор не поменяли скомпрометированный сертификат и официально не признали проблему, хотя их еще в январе уведомили.

praseodim ★★★★★ ()
Ответ на: комментарий от chenbr0

и как же поимели владельцев мышек от асус?

Им просто продали говно. ASUS не умеет делать ни мыши, ни клавиатуры.

anonymous ()
Ответ на: комментарий от praseodim

У меня дома как раз от этой конторы 2 матплаты, но обе обновлялись не через апдейтер, а через встроенный в uefi менеджер обновлений (тоже по сети). Что-то мне везёт со всякиими зондами - сначала Supermicro (не подтверждено), теперь вот это.

Deleted ()
Ответ на: комментарий от Deleted

встроенный в uefi менеджер обновлений

У меня для тебя плохие новости наверно. Вообще никогда не понимал этого, ну т.е. наверно конечно удобно, но ручками как-то спокойнее и надёжнее. А тебе теперь все инфицированные железки (всё что когда-либо подключалось к этим платам) сжечь придётся.

не подтверждено

зря сомневаешься

anonymous ()

Второй раз за март месяц обновляю BIOS на материнке ASUS TUF B450M-PLUS GAMING. Что-то слишком часто биосы стали выпускаться.

iZEN ★★★★★ ()
Ответ на: комментарий от Deleted

Можешь провериться на https://shadowhammer.kaspersky.com/ попал ли ты в список атакуемых по MAC-адресу, но опять же никакой гарантии. Да тут блин нет гарантии даже если ручками обновлялся, потому что Live Update сумели за руку схватить, а что там с просто скачиванием неизвестно.

praseodim ★★★★★ ()
Ответ на: комментарий от anonymous

Дак ручками ты бы с тех же самых серверов обновлений все и тащил. Я сомневаюсь что в UEFI запихнули что-то сложнее FTP-клиента.

зря сомневаешься

Если буду ещё какое-то железо покупать, отпишусь на лоре, чтобы его избегали, лол.

Deleted ()
Ответ на: комментарий от iZEN

Из-за мельдониев всяких обновляют (код апдейта микрокода на процессор встраивается в биос).

Но вообще нафига? Если система нормально работает, то зачем обновлять биос.

praseodim ★★★★★ ()
Ответ на: комментарий от Deleted

Вряд ли они заразили все файлы для всех плат на сервере, скорее всего раздавали интересный пейлоад тем кто обращался через сервис. Да и оказывается если у тебя китайский прокси в браузере, тебя бы вообще не стали трогать.

anonymous ()
Ответ на: комментарий от anonymous

голой жопой

/me выдохнул

вдыхай обратно, лол. а ты свое аппаратное обеспечение контролируешь? у тебя закрытая шляпа прямо под носом. толку от твоего линукса, фряхи, опенки, солярки или под чем ты там? ты свой закрытый уефи/биос точно знаешь? интел менеджмент? псп? комптрэйс? закрытые бинарники, блобы? думаешь люди просто так придумали коребут, либребут, меклинеры? может ты свою аппаратную начинку подверг реверс инжинирингу? что-что? нет?

тут 95% юзеров лора ничем от виндузятников не отличается (кроме тех, кто себе спец. ноуты и железо не подбирает), сидя на закрытых прорпиетарных начинках hardware. лол. и смех и грех. один сакура-кан на весь лор есть, который старательно последовательно все терпеливо объясняет, разъясняет, остальные как об стенку горох. я сижу на войде с защищенным либрессл! я конпелирую крукс и генту! восклицают они! лол. сидите-сидите. толку от всего этого мало до тех пор, пока у вас в железе закрытая шляпа. вроде и дети должны понимать.

anonymous ()

а вот не надо юзать всякие там «live» и «auto». на системах, где требуется безопасность, в сеть вообще выхода нет. ну или по крайней мере система грузится с защищённого от записи образа, с проверкой всех контрольных сумм.

Iron_Bug ★★★★★ ()
Ответ на: комментарий от anonymous

А плевать на самом деле, наличие intel me немного напрягает, но в принципе пофиг.

войде с защищенным либрессл

ну это странно конечно, я на порядок больше доверяю openssl, разве что надо задизейблить слабые/сомнительные алгоритмы.

Большинство пользователей с удовольствием запускают произвольный бинарный код, иногда даже анальный, ничего в этом такого нет. Ты же не будешь запускать только свободный лично проинспектированный и бережно своими руками скомпилированный код? Напрягает когда что-то само пролезает и начинает пакостить.

anonymous ()
Ответ на: комментарий от anonymous

но ручками как-то спокойнее и надёжнее

В программаторе что ли?

Radjah ★★★★★ ()

ASUS Live Update

ССЗБ. Компаниям пофиг на вашу приватность и безопасность, кроме тех, которые на этом специализируются.

anonymous8 ★★ ()
Ответ на: комментарий от Iron_Bug

Как я понял уже после создания темы, дело даже не в Live и auto, а что в принципе апдейты от асуса заливались инфицированные, причем с валидным асусовским же сертификатом. Учитывая и узконаправленный характер атаки (600 маков, и только из-за ошибки заражают больше) и что асус не спешит почесаться по этому поводу оно вообще как бы не штатная работа на американского или китайского «кого надо».

А тут защищай не защищай образ... Только коребут еще может как-то дать повышенную уверенность.

Впрочем, это не отменяет того, что ручками ставить надо. Вероятность атаки уменьшает.

praseodim ★★★★★ ()
Ответ на: комментарий от praseodim

это надо знатно обосраться, чтобы пролюбить сертификат, да ещё и сервер с прошивками. просто так не зальёшь софт. там же контрольные суммы кругом, вот это всё. там либо инсайдер какой-то, либо они просто в курсе происходящего.

Iron_Bug ★★★★★ ()

Можно было по случаю и по-интереснее заголовок сделать. Типо «вашу мать поимели». Материнку от асус, конечно.

anonymous ()

Как сообщает «Лаборатория Касперского»

Ты им веришь? Эти мудаки готовы придумывать любые новости лишь бы покупали их антивирусы, их послушать так все у всех ломают если их продукт не купить.

mbivanyuk ★★★★★ ()
Ответ на: комментарий от mbivanyuk

Тут ведь не абстрактная страшилка, а вполне конкретные факты приводятся, которые они вряд ли рискнули бы выдумать.

praseodim ★★★★★ ()
Ответ на: комментарий от praseodim

Скомпроментированые фирмы

Предлагаю придерживаться список отличившихся фирм,которые своим сертификатом подписали вирус:

1. Realtek - stacksnet

2. Jmicrin - stacksnet

3. ASUS - ...

anonymous ()
Ответ на: комментарий от Iron_Bug

Проверки контрольных сум мало, можно изменить файл и его контрольную суму одновременно!

Необходимо криптографическая верификации загружаемый системы:

1. Secureboot с подписью grub core.img & mbr

2. Grub с check_signatures=enforce подписью всех его конфигов модулей и ядра с инитрд линукса

3. Сам линукс с поддержкой IMA/EVM.

И сколько дистров gnu/linux сие поддерживают?

anonymous ()
Ответ на: комментарий от praseodim

Но вообще нафига? Если система нормально работает, то зачем обновлять биос.

Так надо же. Я привык перекладывать ответственность на других. В случае чего аргументирую: «Вот видите, я всё по инструкции и своевременно сделал, виновен тот, кто предоставил бажную прошивку.» ;)

iZEN ★★★★★ ()
Ответ на: комментарий от anonymous

Ты предлагаешь запускать линукс под десяточкой? Какой тогда в нём смысл?

Любителям Windows 7 я не устаю повторять: «Windows 10 неизбежен. Надо переходить на неё и учиться жить работать с этим, пока не остались в дураках со своим legacy.»

iZEN ★★★★★ ()
Ответ на: комментарий от anonymous

под какой десяточкой? я её вообще не видела ни разу, слава макаронному монстру. у меня маздая нет нигде.

Iron_Bug ★★★★★ ()
Последнее исправление: Iron_Bug (всего исправлений: 1)

Так-то оно и с репозиториями гнулинуксов может пройзойти, но случай любопытный, да

Harald ★★★★★ ()

работа каких то служб особенно с учетом того что атака должна была быть таргетированной и не хотят признавать, даже заскамленные сертификаты не отзывают, какой нибудь darkmatter по журналистам работал

BLOBster ★★ ()
Ответ на: комментарий от e000xf000h

Асус топ среди всей этой шоболы если что. Прям единственный производитель всего уже лет 20. А кто не крап?

anonymous ()

Видно с целью за кем-то конкретным (судя по всему в России) пошпионить

/* поперхнувшись чаем */ зачем им мои фоточки?

superuser ★★★ ()
Ответ на: комментарий от superuser

Что-то похожее уже было с иранской ядерной программой пару лет назад.

anonymous ()
Ответ на: комментарий от anonymous

Прям единственный производитель всего уже лет 20

Говно и мусор.

Все, но некоторые делают шедевры иногда, типа Apple or Google.

anonymous

Вообще анону отвечать - моветон.

e000xf000h ()
Ответ на: комментарий от e000xf000h

Apple or Google

толсто

e000xf000h

странно, тебя ещё не забанили?

anonymous ()

Я не понял, а BIOS/UEFI прошивку тоже заражали или нет? У меня в материнке ASUS прямо из UEFI в интернет можно лазить за прошивкой.

superuser ★★★ ()
Ответ на: комментарий от Iron_Bug

либо инсайдер какой-то, либо они просто в курсе происходящего

всем по Эльбрусу, поцаны! И Вам мадам.

superuser ★★★ ()
Ответ на: комментарий от praseodim

А ну надо в заголовке уточнить, что материнских плат, ноутбуков и прочих моноблоков. Телефоны и планшеты уже вряд ли.

Кто тебе сказал такое? Ты же сам написал:

Не менее интересен и тот факт, что зараженные версии апдейтера были подписаны двумя действительными сертификатами ASUSTeK Computer Inc. Один из них истек в середине 2018 года, и тогда атакующие переключились на второй, который до сих пор не был отозван.

Значит, они могут подписывать любые файлы и обновления для любых устройств. С момента получения сертификата и пока его не отзовут.

fehhner ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.