A Asus liberou nesta terça-feira, 26, uma atualização crucial para seus computadores. A correção vem após a notícia preocupante de que o próprio sistema de atualizações dos dispositivos da empresa havia sido comprometido, e estava sendo usado para distribuição de malware nos notebooks da marca.

Vulnerabilidades foram identificadas pelo Kaspersky Lab no sistema Asus Live Update. Os backdoors foram registrados entre junho e novembro do ano passado. Estima-se que mais de um milhão de computadores tenham sido afetados, mas a Asus afirma que apenas “um pequeno número de dispositivos” foi afetado pelo ataque.

A empresa alegou ter implementado uma correção na atualização 3.6.8 do mesmo — que incluiu “um mecanismo melhorado end-to-end encryption”. Ela informou também que atualizou e fortaleceu sua arquitetura de software de servidor para o usuário final — afim de evitar ataques semelhantes no futuro. Além disso, foi liberada uma ferramenta de diagnóstico de segurança online para clientes verificarem se seus sistemas foram afetado.

Apelidado de ShadowHammer, os pesquisadores de segurança da Kaspersky Lab descreveram o ataque como uma campanha de ameaça persistente avançada (APT). Segundo eles, um ataque na cadeia de suprimentos é um dos vetores de infecção mais perigosos e eficazes.  

Como foi visto no CCleaner, em setembro de 2017, grandes empresas de tecnologia foram alvo do malware escondido no software da Piriform, que hoje pertence à Avast. Este tipo de ataque busca vulnerabilidades e fraquezas na cadeia de produção de um software, desde sua concepção até a sua publicação.

Mesmo que infra-estrutura de um desenvolvedor seja segura, pode haver vulnerabilidades nas instalações de seus parceiros. Elas sabotam a cadeia de suprimentos, levando a uma violação de dados devastadora e inesperada. Nesse caso, os invasores tiveram como alvo o utilitário Asus Live Update — que é pré-instalado na maioria dos novos dispositivos da companhia.

Empregando certificados digitais roubados — uma vez utilizados pela fabricante para assinar binários legítimos —, foi descoberto que os invasores adulteraram versões mais antigas do software da Asus, implementando neles próprio código malicioso. As versões do software foram assinadas com certificados legítimos, hospedadas e distribuídas a partir dos servidores de atualização oficiais da empresa. Isso tornou as ações “quase invisíveis” para a “grande maioria” dos sistemas de proteção.