Questo 23 febbraio 2019, la foto mostra l'interno di un computer con il logo ASUS a Jersey City, I ricercatori di N.J. Security affermano che gli hacker hanno infettato decine di migliaia di computer del fornitore taiwanese ASUS con software dannoso per mesi l'anno scorso attraverso il servizio di aggiornamento automatico online dell'azienda. Kaspersky Labs ha detto lunedì, 25 marzo che l'exploit ha probabilmente colpito più di 1 milione di computer della società informatica n. 5 al mondo, sebbene sia stato progettato per installare chirurgicamente una backdoor in un numero molto inferiore di PC. (Foto AP/Jenny Kane)
La società di computer taiwanese ASUS sta riconoscendo che sospetti hacker di uno stato nazionale hanno impiantato malware sul suo servizio di aggiornamento automatico online in un'operazione di spionaggio sofisticata e mirata.
I ricercatori di sicurezza di Kaspersky Lab hanno rivelato lunedì che gli hacker hanno infettato decine di migliaia di computer ASUS l'anno scorso nello schema. Kaspersky ha detto di aver rilevato 57, 000 infezioni tra i clienti del suo software antivirus. Si stima che l'exploit abbia probabilmente colpito più di 1 milione di computer.
Il malware è stato progettato per aprire una "backdoor" per gli intrusi nelle macchine infette.
ASUS ha dichiarato in una dichiarazione preparata che il malware ha infettato un piccolo numero di dispositivi nel tentativo di prendere di mira un piccolo, gruppo di utenti specifico. Non ha specificato quanti o chi.
L'azienda di computer numero 5 al mondo ha dichiarato di aver corretto il software di aggiornamento compromesso, che invia automaticamente driver e firmware ai laptop ASUS quando autorizzato dagli utenti.
ASUS non ha risposto alle domande inviate tramite e-mail. Né ha riconosciuto che Kaspersky le ha notificato il cosiddetto attacco alla catena di approvvigionamento, che è stato riportato per la prima volta dal sito di notizie online Motherboard. Gli esperti di sicurezza informatica affermano che tali attacchi sono probabilmente molto più comuni di quanto si sappia.
Circa il 50% dei clienti del software antivirus Kaspersky interessati si trovava in Russia, Germania e Francia, ha detto la società. Gli Stati Uniti rappresentavano meno del 5%.
Un portavoce di Symantec ha detto circa 13, 000 dei suoi clienti antivirus hanno ricevuto gli aggiornamenti dannosi.
Il software infetto si trovava sui server Live Update di ASUS da giugno a novembre ed è stato firmato con certificati legittimi, secondo Kaspersky. Non ha rilevato il malware fino a gennaio, quando nuove funzionalità sono state aggiunte al suo software antivirus, ha detto la società.
Kaspersky ha affermato che i suoi ricercatori hanno stabilito che il malware è stato programmato per lo spionaggio chirurgico quando hanno visto che era progettato per accettare un secondo payload di malware per computer specifici in base a identificatori univoci delle loro connessioni di rete. Ha identificato più di 600 computer programmati per ricevere il carico utile.
In un post sul blog e le risposte alle domande inviate per e-mail, la società ha affermato che la natura del secondo payload del malware era sconosciuta perché il server che lo ha consegnato non era più attivo.
Kaspersky ha detto che mentre è troppo presto per sapere chi c'è dietro l'operazione, è coerente con un incidente del 2017 attribuito da Microsoft a un gruppo sostenuto dallo stato cinese che la società chiama BARIUM.
ASUS non ha affrontato quale gruppo di hacking sostenuto dallo stato potrebbe essere stato responsabile, ma ha notato che i loro obiettivi non sono i consumatori medi.
© 2019 The Associated Press. Tutti i diritti riservati.
