来自卡巴斯基实验室（Kaspersky Labs）的安全研究人员周一表示，他们发现2018年黑客曾通过华硕Live Update软件的漏洞入侵计算机，并向100多万华硕电脑用户发送了恶意软件，导致这些电脑可能存在后门。

华硕表示，Live Update为华硕笔记本电脑搭载的自动更新软件，部份机型搭载的版本遭黑客植入恶意程序后，上传至档案服务器(download server)，企图对少数特定对象发动攻击。

此次华硕Live Update可能遭受特定APT（Advanced Persistent Threat高级持续威胁）集团攻击。APT通常由第三世界国家主导，针对全世界特定机构用户进行攻击，甚少针对一般消费用户。

受害分布

经过华硕的调查和第三方安全顾问的验证，目前受影响的数量是数百台，大部份的消费者用户原则上并不属于APT集团的锁定攻击范围。华硕在一份声明中表示，该公司所生产的其他设备没有受到此次事件的影响。

华硕已主动联系此部份用户提供产品检测及软件更新服务，并由客服专员协助客户解决问题，并持续追踪处理，确保产品使用无虞。

此外，华硕已对LiveUpdate软体升级了全新的多重验证机制，对于软体更新及传递路径各种可能的漏洞，强化端对端的密钥加密机制，同时更新服务器端与用户端的软件架构，确保这样的入侵事件不会再发生。

据悉，此次攻击发生在去年6月-11月之间，代号为“Operation ShadowHammer”，黑客可利用该漏洞发起供应链攻击。而攻击目标正是这款华硕大多电脑都会预装的Live Update Utility软件。

与此前造成严重影响的ShadowPad和CCleaner攻击一样，恶意文件使用合法华硕数字证书签署，此外该软件更新还寄存在合法华硕更新域名中，包括liveupdate01s.asus[.]com和liveupdate01.asus[.]com。

2019年1月卡巴斯基发现此攻击，据数据显示，已有超过5.7万用户下载安装该软件，研究人员预估有50万台Windows设备接收了恶意后门文件。

美国科技媒体ZDNet认为，华硕可能不是故意通过更新系统将恶意软件散播给如此多的用户。不过攻击者似乎只是瞄准600个目标，黑客通过将用户MAC地址的哈希值硬编码到恶意软件中，便可根据网络适配器使用的独特MAC地址来确认用户身份，然后木马软件将后门装到机器，并下载更多东西。研究人员说，如果你已经下载软件和后门，但是不在目标名单之上，恶意软件不会有进一步动作。

尽管华硕已经修复了这个漏洞，但是依然有人质疑该公司为何没有在第一时间对系统进行锁定。升级工具经常会成为被黑客所利用的工具，因为这些工具不仅受用户的信任，而且对操作系统拥有高权限，因此这些工具在正式发布之前必须要经过严密的安全检查，以免被黑客所利用。

对Operation ShadowHammer的调查还在继续，4月份，在卡巴斯基安全分析师峰会(SAS)上，将会公布结果，并发表技术报告。据悉，华硕最初拒绝承认服务器存在漏洞，但在出现一起由包含漏洞的安全证书引起的攻击事件后停用了该证书，然而截至目前，该证书仍能被唤醒。

来源：

cnBeta.COM

黑鸟

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com

点击阅读原文，了解更多~