Operatie Shadowhammer (De Asus hack)
Vorige week berichtte journaliste Kim Zetter dat Kaspersky ontdekt had dat de auto-update van Asus computers geïnfecteerd was met een malware die ze Shadowhammer hebben genoemd.
Honderdduizenden Asus-bezitters zijn besmet.
Maar waarmee, hoe, en door wie? Laten we de wereld van de moderne internationale spionage eens induiken.
De besmetting
Een van de belangrijkste tips die je maar kunt krijgen in de wereld van de cyber security is: als er een nieuwe versie van je software beschikbaar komt: zo snel mogelijk updaten! Binnen een week worden de tekortkomingen in de vorige versie namelijk en rechts uitgebuit. En de beste manier om snel te updaten is om dat automatisch te doen. Geen omkijken meer naar, en extra veiligheid.
En die tip blijft, al is het zuur dat zo nu en dan juist de officiële update je besmet. Als namelijk je officiële softwareleverancier gehackt is. Dat is wel eens eerder gebeurd, bijvoorbeeld bij NotPetya.
En nu dus weer. De server waarop Asus de Live Automatic Update Tool heeft staan is door onbekenden ergens tussen juni en november 2018 gehackt. En op die server zijn – zoals je zou verwachten – updates klaargezet. Updates met malware erin, getekend door Asus, gedownload en geïnstalleerd door nietsvermoedende Asus-bezitters.
Het is de onbekenden overigens niet gelukt om het hele organisatie van Asus binnen te dringen. Hoe we dat weten? Omdat ze een oude (2015) versie van de updater hadden voorzien van de malware. Nieuwere versies konden ze blijkbaar niet te pakken krijgen.
619 specifieke doelwitten
Volgens de Kaspersky-gegevens waren de onbekenden in de honderduizenden Asus apparaten die ze besmet hadden op zoek naar 619 specifieke slachtoffers. 619 computersystemen waar ze meer mee wilden. Van die systemen stonden gegevens hardgecodeerd (maar versleuteld) in de malware. Alleen op die systemen werd extra malware gedownload. Wat voor malware, en met welke doelstelling – dat is niet bekend, want die malware hebben ze in november verwijderd en was dus ten tijde van de ontdekking al verdwenen.
Mac adressen
De systemen die de onbekenden op het oog hadden werden op een bijzondere manier uitgekozen: met behulp van hun Mac adressen.
Wat is een Mac adres? In je computer zit hardware (netwerk kaarten) die ervoor zorgt dat je met het internet kan verbinden. Dat soort hardware heeft een uniek nummer: het Mac adres. Niet te verwarren met Mac computers. En ook niet te verwarren met je IP adres, dat gebruikt wordt om de gegevens op internet heen en terug te sturen. Je zou je IP adres kunnen zien als je huisadres, en je Mac adres als je coördinaten. Een huisadres kan veranderen, je geografische coördinaten blijven altijd hetzelfde.
Het interessante is: een IP adres is te herleiden tot personen: je telecom provider moet immers weten naar welk adres de gegevens moeten worden gestuurd. Maar een Mac adres is van zichzelf anoniem. Niemand weet in wiens computer die netwerkkaart is ingebouwd.
Tot je het Mac adres weet te koppelen aan een IP adres. En ik denk dat de aanvallers dat bij hun slachtoffers hebben gedaan.
Maar omdat Mac adressen in principe anoniem zijn weten we dus niet alleen niet wie de aanvallers zijn, maar ook niet wie de beoogde slachtoffers zijn.
Alsof we naar een James Bond film zitten te kijken zonder geluid.
En zonder beeld.
We weten dat er wat spannends gebeurt, maar we zien er niks van.
Kortom
Een vrij unieke hack: de aanval is gericht op een vertrouwde partij, en in de honderdduizenden besmettingen zijn de aanvallers op zoek naar hele specifieke personen of instanties.
De aanvaller is waarschijnlijk een geheime dienst, maar van welk land en met welke doelstellingen is volledig onzeker.
Raakt dit u?
Ja, als u een Asus systeem heeft toch wel een beetje. U kunt de malware op uw systeem hebben. Asus heeft de server ontsmet en – erg laat – versie 3.6.8 van de Live Automatic Update Tool gepushed. Die is wel veilig. Maar verwijdert eventuele malware niet van uw computer.
De Asus-certificaten waarmee de aanvallers de malware hadden ondertekend zijn (op dit moment) nog niet ingetrokken door Asus. Geen optimale situatie dus voor Asus gebruikers.
Ik hoop dat Asus ondertussen achter de schermen hard aan het werk is om een opschoontool aan te bieden om de malware te verwijderen.
Cyber security kunnen we bereiken als alle partijen hun verantwoordelijkheid nemen. En dit is er duidelijk niet eentje voor de eindgebruiker.
No Comments :