Hàng trăm nghìn máy tính Asus bị cài ‘cửa hậu’

Hàng trăm nghìn máy tính Asus đã bị cài ‘cửa hậu’. - Ảnh: SHUTTERSTOCK

Theo phát hiện của Hãng bảo mật Kaspersky Lab, các tin tặc đứng sau Shadow Hammer đã nhắm đến ứng dụng Live Update từ Asus làm nguồn lây nhiễm ban đầu. Đây là ứng dụng được cài đặt sẵn trong hầu hết các máy tính Asus mới để tự động cập nhật các phần mềm và các ứng dụng trên sản phẩm.

Mặc dù mọi người dùng phần mềm Live Update từ Asus đều có nguy cơ trở thành nạn nhân cuộc tấn công, nhưng Shadow Hammer chỉ chủ yếu chỉ tập trung vào hàng trăm người dùng mà chúng đã xác định từ trước. Các nhà nghiên cứu của Kaspersky Lab đã phát hiện mỗi mã backdoor chứa một bảng địa chỉ MAC được mã hóa.

Khi chạy trên thiết bị, backdoor sẽ xác minh địa chỉ MAC trên máy so với địa chỉ trên bảng này. Nếu địa chỉ MAC khớp với một trong các mục, phần mềm độc hại sẽ được tải xuống cho giai đoạn tiếp theo của cuộc tấn công. Nếu không khớp, trình cập nhật xâm nhập sẽ không hiển thị bất kỳ hoạt động nào. Đó là lý do tại sao vụ tấn công này đã không bị phát hiện trong thời gian dài. Các chuyên gia bảo mật đã xác định tổng cộng hơn 600 địa chỉ MAC.

Theo công bố của Kaspersky Lab, lượng máy tính bị cài mã độc được ghi nhận mới ở con số vài trăm nghìn mặc dù nguy cơ ảnh hưởng có thể đến hơn 1 triệu người dùng trên toàn cầu. Kaspersky Lab cũng đã thông báo đến Hãng Asus về vụ việc này.

Vitaly Kamluk, giám đốc Nhóm nghiên cứu và phân tích toàn cầu của Kaspersky Lab khu vực châu Á - Thái Bình Dương, cho biết: “Các nhà cung cấp được lựa chọn tấn công là những mục tiêu cực kỳ hấp dẫn cho các nhóm APT (tấn công có chủ đích) khi muốn tận dụng lượng khách hàng rộng lớn của họ. Hiện vẫn chưa xác định mục tiêu cuối cùng của những kẻ tấn công là gì, và chúng tôi vẫn đang tìm ra ai đang đứng sau vụ tấn công”.