www.belgium.be Logo of the federal government

Shadowhammer

Referentie: 
Advisory #2019-007
Versie: 
1.0
Geïmpacteerde software: 
ASUS Live Update Utility (versions older than v3.6.8)
Type: 
Rootkit (supply-chain compromise)

Bronnen

Risico’s

Asus systemen die gebruik maken van de Asus Live Update Utility ( versies > 3.6.8) kunnen gecompromitteerd worden door een aanvaller (vermoedelijk state-sponsored).

Risico: verlies van confidentialiteit, integriteit en beschikbaarheid van de data. 

Beschrijving

Kaspersky ontdekte in januari 2019 een supply chain attack die gericht is op ASUS-computers. Een aanvaller slaagde erin om de interne systemen van ASUS te compromitteren en gevaarlijke code te installeren in de ASUS Live Update Tool. De tool wordt standaard bij elk ASUS-systeem geleverd. Onder normale omstandigheden wordt de utility gebruikt om softwarecomponenten waaronder systeemdrivers en ondersteunende applicaties, automatisch bij te werken. 

Een supply chain-aanval geeft de aanvaller de mogelijkheid om de getroffen ASUS-systemen te gebruiken voor diverse doeleinden.  Er is een mogelijkheid om een kwetsbare  BIOS/UEFI te installeren, dit heeft dezelfde impact als een rootkit. Ruwe schattingen van het aantal systemen dat getroffen is, variëren tussen de 500.000- en 1.000.000.000 systemen wereldwijd. Hoewel er overtuigend bewijs is dat op dit moment slechts ongeveer 600 systemen actief gecompromitteerd zijn door de aanvallers (waardoor dit een gerichte aanval lijkt te zijn), blijven alle andere systemen die de aangepaste gevaarlijke ASUS Live Update Utility hebben geïnstalleerd uiterst kwetsbaar.

Aanbevolen acties

Ga na of uw systeem getroffen werd a.d.h.v de tool :  ASUS diagnostic utility 

Indien u vermoedt dat u slachtoffer bent van deze aanval, verwittig CERT.be via: cert@cert.be.

Indien uw systeem getroffen werd raden we aan om een volledige backup te nemen van alle belangrijke files, uw systeem te herstellen naar de fabrieksinstellingen en de files vanuit de backup terug te plaatsen. 

Update de tool naar de laatste versie :  ASUS Live Update Utility.

Referenties

https://shadowhammer.kaspersky.com/index.php

https://securelist.com/operation-shadowhammer/89992/

https://www.asus.com/News/hqfgVUyZ6uyAyJe1

https://www.symantec.com/security-center/writeup/2019-032518-1710-99