ESET: Asus WebStorage software verantwoordelijk voor verspreiding malware
Eind april is beveiligingsbedrijf en softwaregigant ESET tot een vreemde conclusie gekomen: via de Asus WebStorage-software zijn malwarebestanden geserveerd. Het proces (AsusWSPanel.exe) van de Asus-software, gericht op cloudopslag, is namelijk in meerdere gevallen gebruikt om de Plead-backdoor op Windows-machines te misbruiken. Het precieze proces zou verlopen via het update-proces van de WebStorage-software, waarna de Plead-backdoor wordt geopend. De backdoor wordt voornamelijk in Azië misbruikt door cyberspionagegroep BlackTech om verschillende doelgroepen te kunnen bespioneren.
MitM of Supply-chain aanval?
Het proces is door Asus Cloud Corporation gesigneerd, het gaat dan ook om een legitiem proces. De onderzoekers van ESET hielden rekening met twee scenario’s: een Supply-chain of MitM-aanval. Volgens de onderzoekers bleek het eerste geval erg onwaarschijnlijk. Via het update-proces zijn ten tijde van de aanvallen namelijk nog officiële updatepakketten verzonden. Daarnaast is er geen bewijs dat de servers van Asus malafide bestanden bevatten. Als laatste rekent ESET mee dat de hackers losstaande malware-bestanden gebruikten, in plaats van dat de applicatie werd geïnfecteerd.
Een Man in the Middle-aanval lijkt dan ook een stuk waarschijnlijker. Er zijn meer aanwijzingen dat het om een MitM-aanval gaat. Om precies te zijn: er wordt een HTTP-verbinding gebruikt om updates naar gebruikers te versturen. Op die manier zou het voor hackers mogelijk zijn om het updateverzoek te onderscheppen en in plaats van het echte updatebestand een malafide bestand door te sturen. In veel gevallen wordt dit onderschept, aangezien er wordt gecontroleerd of het juiste bestand is gestuurd. Asus blijft daar echter in gebreke, er wordt niet gecontroleerd op de legitimiteit van updatebestanden.
Taiwanese overheidsservers
Uiteindelijk is het lek actief misbruikt, zo bleek uit het onderzoek van ESET. De URL van het te downloaden bestand werd relatief gemakkelijk gewijzigd. Na het aanpassen werd er via een Taiwanees overheidsdomein malware gedownload naar de computers. Vervolgens kon BlackTech gemakkelijk de Plead-backdoor misbruiken. Het bedrijf roept organisaties, zoals Asus, op om HTTP-verbindingen te verbannen uit beveiligingsoogpunt. Verder is het van belang dat er, voordat de update geïnstalleerd wordt, is gekeken of het om een legitiem (veilig) of malafide-bestand gaat.
Eind april is beveiligingsbedrijf en softwaregigant ESET tot een vreemde conclusie gekomen: via de Asus WebStorage-software zijn malwarebestanden geserveerd. Het proces (AsusWSPanel.exe) van de Asus-software, gericht op cloudopslag, is namelijk in meerdere gevallen gebruikt om de Plead-backdoor op Windows-machines te misbruiken. Het precieze proces zou verlopen via het update-proces van de WebStorage-software, waarna de Plead-backdoor wordt geopend. De backdoor wordt voornamelijk in Azië misbruikt door cyberspionagegroep BlackTech om verschillende doelgroepen te kunnen bespioneren.
MitM of Supply-chain aanval?
Het proces is door Asus Cloud Corporation gesigneerd, het gaat dan ook om een legitiem proces. De onderzoekers van ESET hielden rekening met twee scenario’s: een Supply-chain of MitM-aanval. Volgens de onderzoekers bleek het eerste geval erg onwaarschijnlijk. Via het update-proces zijn ten tijde van de aanvallen namelijk nog officiële updatepakketten verzonden. Daarnaast is er geen bewijs dat de servers van Asus malafide bestanden bevatten. Als laatste rekent ESET mee dat de hackers losstaande malware-bestanden gebruikten, in plaats van dat de applicatie werd geïnfecteerd.
Een Man in the Middle-aanval lijkt dan ook een stuk waarschijnlijker. Er zijn meer aanwijzingen dat het om een MitM-aanval gaat. Om precies te zijn: er wordt een HTTP-verbinding gebruikt om updates naar gebruikers te versturen. Op die manier zou het voor hackers mogelijk zijn om het updateverzoek te onderscheppen en in plaats van het echte updatebestand een malafide bestand door te sturen. In veel gevallen wordt dit onderschept, aangezien er wordt gecontroleerd of het juiste bestand is gestuurd. Asus blijft daar echter in gebreke, er wordt niet gecontroleerd op de legitimiteit van updatebestanden.
Taiwanese overheidsservers
Uiteindelijk is het lek actief misbruikt, zo bleek uit het onderzoek van ESET. De URL van het te downloaden bestand werd relatief gemakkelijk gewijzigd. Na het aanpassen werd er via een Taiwanees overheidsdomein malware gedownload naar de computers. Vervolgens kon BlackTech gemakkelijk de Plead-backdoor misbruiken. Het bedrijf roept organisaties, zoals Asus, op om HTTP-verbindingen te verbannen uit beveiligingsoogpunt. Verder is het van belang dat er, voordat de update geïnstalleerd wordt, is gekeken of het om een legitiem (veilig) of malafide-bestand gaat.