Bakdörr planterad i uppdateringar för över en halv miljon Asus-datorer

Trädvy Permalänk
Medlem
Plats
Varberg
Registrerad
Jan 2002

För något år sedan var det Lenovo som var i blåsväder för mer eller mindre samma sak... nu Asus.

Alltså, vad skall man säga ?
Det finns ju mer än en anledning till att man blåser om sin dator med en ren Windows -install - även om den är helt ny.

Citera eller Svara för respons! •
Pixel Artist - Öppen för förslag på beställningsjobb! PM'a mig. • Mer på Instagram
YouTube - Gör lite såsaker här ibland, unboxing, drönar/go-pro saker och dyl. •

Trädvy Permalänk
Medlem
Registrerad
Apr 2006
Skrivet av tvelander:

Om folk är beredda att ladda ner en ZIP fil från en random snubbe på ett forum och köra binären (antar jag) på sin dator bara så där så behöver man nog inte oroa sig för BIOS hack. Nu tror jag inte att just Tvelander skulle köra med några fulfiler, det är mer en generell poäng för att sätta saker i perspektiv.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2008
Skrivet av Awakeruad:

Ryssland använde den här approachen i sin "Not Petya" attack på Ukraina, men det malwaret hade ingen begränsning på sin spridning och orsakade skador också i Ryssland (plus i en räcka andra länder).
Utan att veta vilka datorer som fanns på attack-listan går det inte att säga vem som ligger bakom, men en attack på en Taiwanesisk firma gör ganska automatiskt att Kina blir misstänkt #1.
Har ASUS routrar och IoT grejor också automatisk uppdatering? I så fall kan problemet vara ännu större.

Ska man vara noga kan vi bara minska på listan över vem som *sannolikt* ligger bakom. Vad säger till exempel att det inte är Ryssen som försöker köra false flag för att underminera USA i ett politiskt läge?

Skickades från m.sweclockers.com

Mjölnir: Ryzen 5 2400G | GA-AB350N | Ballistix Elite 16GB | Sapphire RX 470 8GB Miner Edition | IKEA Knagglig
Server: Ryzen 5 1400 | X470-F | Ballistix Sport 24GB | Sapphire RX 580 8GB | Sapphire HD 5850 1GB | NZXT Switch 810

Trädvy Permalänk
Medlem
Registrerad
Apr 2006
Skrivet av Jackbob:

Första jag gör när jag köper en laptop är att göra en clean install av Windows, på den tiden då jag körde Windows i laptop förstås. Kör Linux på mina laptops sen många år tillbaka, problem solved!

Perfekt för angriparna, innebär knappast något som helst skydd mot det hack dom diskuteras här samtidigt som du själv är övertygad om att du är säker och sänker garden

Trädvy Permalänk
Medlem
Registrerad
Jul 2015
Skrivet av serdyllon:

Man kan ju ta bort allt med CCleaner och... eller vänta nu...

https://blog.avast.com/update-to-the-ccleaner-5.33.6162-secur...

Kan mycket väl vara samma angripare.
Kina & Ryssland står väl för en 90 procent av den där typen av attacker; i ASUS fall är det antagligen Kina, så alla som är ute och försvarar Moder Rysslands ära kan ta det lugnt.

Trädvy Permalänk
Medlem
Registrerad
Jul 2015
Skrivet av improwise:

Perfekt för angriparna, innebär knappast något som helst skydd mot det hack dom diskuteras här samtidigt som du själv är övertygad om att du är säker och sänker garden

Om du inte installerar någon tredjeparts-uppdaterare kan du knappast bli infekterad via en tredjeparts-uppdaterare.

Trädvy Permalänk
Medlem
Plats
Solna
Registrerad
Feb 2004

Och detta är varför man skall installera om Windows på datorer man köper med en massa förinstalleras crapware

Trädvy Permalänk
Medlem
Registrerad
Jul 2015
Skrivet av Djhg2000:

Ska man vara noga kan vi bara minska på listan över vem som *sannolikt* ligger bakom. Vad säger till exempel att det inte är Ryssen som försöker köra false flag för att underminera USA i ett politiskt läge?

Det kan vara nordkorea eller iran eller israel också, men kina och ryssland ligger bakom den förkrossande majoriteten av såna här attacker, och ryssland fokuserar på att fucka upp ukraina och europa, medan kina har större delen av sitt fokus just på taiwan.

Trädvy Permalänk
Medlem
Plats
Umeå
Registrerad
Maj 2007
Skrivet av gabriel15:

Tänkvärt till alla er som gråter över Huawei... samma skit överallt.

Bakdörrar finns medvetet i allt men det är aldrig meningen att fel folk ska kunna använda dem.

Om någon har kört nerför ett stup med en ny Volvo och avlidit, så betyder inte det att man lika gärna kan köra en gammal Lada "för man kan dö i båda". Frågan är inte svart eller vit. Men om du vill stödja ett företag som har kopplingar till den Kinesiska regimen (som förtrycker folkgrupper och utövar industriellt cyberspionage mot Sverige) eller ett Taiwanesisk företag grundat av ett gäng ingenjörer från Acer är upp till var och en.

Citera så att jag hittar tillbaka! Intel i7 4770k | Gigabyte GA-Z78X-UD4H | 8GB Corsair XMS3 1333Mhz
| Geforce GTX 980 | OCZ Agility 3 120GB | EVGA G2 750W | Windows 10

Trädvy Permalänk
Medlem
Plats
Norrlands skogar
Registrerad
Mar 2014
Skrivet av improwise:

Perfekt för angriparna, innebär knappast något som helst skydd mot det hack dom diskuteras här samtidigt som du själv är övertygad om att du är säker och sänker garden

Skulle du kunna vara vänlig att berätta för mig som är så ovetande hur mycket Asus Live Update jag har i mitt Ubuntu? Tack på förhand.

Det är svårt att bli infekterad av oexisterande programvara.

Dold text
Trädvy Permalänk
Medlem
Registrerad
Jun 2005
Skrivet av kazen_90:

Nej det är inte samma skit. Kinesiska staten ligger bakom Huawei, det är inte samma sak med Asus.

Skickades från m.sweclockers.com

De stora IT-jättarna är en del av den Amerikanska staten och har minst lika bra kontakt som den kinesiska staten har med Huawei.

DVS samma skit.

Mac Book-intel

Trädvy Permalänk
Medlem
Plats
Sollentuna
Registrerad
Maj 2007

Liveupdate är något annat än Ezupdate då?

Ezupdate följer med när man installerar AISuite till ett asus-moderkort (dvs något jag gjort på bra många datorer)

Teoretiskt låter det som samma bakdörr. Verktyget, dvs den lilla .exen de skickade ut här, sade att jag inte var hackad. Trevligt. Nu har jag bara en bakdörr från kaspersky istället

i9-7920X Delid 4.7 GHz | 64GB DDR4 3200 MHz | ASUS WS X299 PRO | Geforce GTX 1080 Ti | 500GB NVMe + 3x 500GB SATA SSDs | Philips 40" 4K-skärm, 2x HP Z27n 1440p-skärmar.

Trädvy Permalänk
Medlem
Plats
Umeå
Registrerad
Maj 2007
Skrivet av gabriel15:

De stora IT-jättarna är en del av den Amerikanska staten och har minst lika bra kontakt som den kinesiska staten har med Huawei.

DVS samma skit.

Visste inte att alla stora IT-jättar är amerikanska, och dessutom en del av den amerikanska staten?

Vad sägs om deras största konkurrent på telekomsidan (som Huaweidebatten mest handlar om), Ericsson?

Citera så att jag hittar tillbaka! Intel i7 4770k | Gigabyte GA-Z78X-UD4H | 8GB Corsair XMS3 1333Mhz
| Geforce GTX 980 | OCZ Agility 3 120GB | EVGA G2 750W | Windows 10

Trädvy Permalänk
Medlem
Plats
stockholm
Registrerad
Jan 2008
Skrivet av Ninjaflipp:

Detta är en hacker(avskyr det ordet, men det är den enda rätta benämningen i detta fallet)attack av rätt hög status och jag är ärligt talat rätt imponerad.

De har alltså på något vis fått tillgång till ASUS uppdateringsservrar, bytt ut uppdateringspaketen som skickas ut till användare med sina egna (med exakt samma filstorlek) och dessutom signerat sina egna uppdateringspaket med ASUS privata nyckel/certifikat. Rakt under näsan på ASUS, som inte märkte någonting alls. Stor kontrast från exempelvis Apples icloud-läcka, där det enda 'hackern' gjorde var att bruteforca inloggningssidan till icloud... eftersom det inte fanns någon utelåsningsfunktion vid bruteforceförsök.

Imponerande arbete... eller imponerande klantigt av ASUS. Kan mycket väl vara information som sålts av en mutad anställd eller något liknande dock.

En konsult som fått tag i lite väl mycket behörigheter möjligtvis

Trädvy Permalänk
Hedersmedlem
Plats
Malmö
Registrerad
Apr 2007
Skrivet av andreas_dock:

För något år sedan var det Lenovo dom var i blåsväder för mer eller mindre samma sak... nu Asus.

Alltså, vad skall man säga ?
Det finns ju mer än en anledning till att man blåser om sin dator med en ren Windows -install - även om den är helt ny.

Beror väl kanske lite på med vilka glasögon man ser på problemet.

Är det som Asus säger ett insiderjobb mot asus vilja så är det väl en rätt stor skillnad mot Lenovos upplägg som infört detta som en "feature". Nog för att det här inte ska hända oavsett och det är Asus ansvar att sköta sin säkerhet men internt sabotage är väl en viss skillnad i upplägg jämfört med Lenovos upplägg oavsett om det var ett omedvetet misstag eller planerad strategi.
Jag tycker den delen är ganska viktig iaf.

Från kunds perspektiv spelar det emellertid mindre roll. Datorn blir utsatt för samma risk oavsett och det är som du säger vanligen läge att blåsa datorn och lägga in egen windowsversion på laptops. Bra råd!

🖥 → Ryzen 5 2600@4,1ghz • Gainward RTX 2070 • 16GB DDR4 • MSI B450I Gaming Plus AC (mITX)
💻 → SurfacePro 3 [i5 • 4GB ddr3 • keybaord + pen]
🖱 → Corsair m65 white / ⌨ → pok3r nordic white
📱 → Oneplus6
🎧 → Sennheiser momentum wireless & Logitech g930

Trädvy Permalänk
Medlem
Plats
Värmland
Registrerad
Aug 2005
Skrivet av Söderbäck:

Beror väl kanske lite på med vilka glasögon man ser på problemet.

Är det som Asus säger ett insiderjobb mot asus vilja så är det väl en rätt stor skillnad mot Lenovos upplägg som infört detta som en "feature". Nog för att det här inte ska hända oavsett och det är Asus ansvar att sköta sin säkerhet men internt sabotage är väl en viss skillnad i upplägg jämfört med Lenovos upplägg oavsett om det var ett omedvetet misstag eller planerad strategi.
Jag tycker den delen är ganska viktig iaf.

Från kunds perspektiv spelar det emellertid mindre roll. Datorn blir utsatt för samma risk oavsett och det är som du säger vanligen läge att blåsa datorn och lägga in egen windowsversion på laptops. Bra råd!

Problemet här är att Live Update kan pusha ut UEFI uppdateringar som levererar persistenta malware och att det därför inte hjälper med ominstallation.

https://www.techpowerup.com/248827/asus-z390-motherboards-aut...

Trädvy Permalänk
Medlem
Registrerad
Maj 2017

Ryssfobior

Skrivet av Awakeruad:

Kan mycket väl vara samma angripare.
Kina & Ryssland står väl för en 90 procent av den där typen av attacker; i ASUS fall är det antagligen Kina, så alla som är ute och försvarar Moder Rysslands ära kan ta det lugnt.

Hur vet du det ? Finns inga bevis för det du påstår, bara rysskräck ! Det kan lika gärna vara någon som sitter i CIA:s högkvarter och UTGER sig för att vara en ryss ! UTAN bevis kan man ju säga vad f*n som helst. Om det inte behövs bevis, så kan man lika gärna säga att det var SÄPO som låg bakom. Det är bara Ryssland och Kina man kan anklaga UTAN att behöva några bevis ens !

Intel i7 4930K 4,2 Ghz, Nvidia 980 GTX, Corsair 32Gb, Samsung SSD Pro, Fractal 1000W, Corsair vätskekylning.

Trädvy Permalänk
Master of Overkill
Plats
Göteborg
Registrerad
Sep 2011
Skrivet av improwise:

Om folk är beredda att ladda ner en ZIP fil från en random snubbe på ett forum och köra binären (antar jag) på sin dator bara så där så behöver man nog inte oroa sig för BIOS hack. Nu tror jag inte att just Tvelander skulle köra med några fulfiler, det är mer en generell poäng för att sätta saker i perspektiv.

Jag tog bara länkadressen från kaspersky hemsida

https://securelist.com/operation-shadowhammer/89992/

CASE Caselabs TH10 CPU 9900k @5.3GHz (No AVX) 9800X @4.8GHz GPUs 2x GTX 1080 + 1080ti Poseidon + 980ti K|NGP|N RAM 4x16GB Corsair Dominator Platinum 3400MHz CL14 + 4x8GB Corsair Vengeance RGB PRO PSU EVGA T2 1600W SSD 905p 480GB Headphones Xtrfy H1 Screen ASUS ROG SWIFT PG258Q, 43" Samsung Super Ultra Wide
Motherboard X299 EVGA DARK + ASUS ROG MAXIMUS XI HERO Z390 Watercooling 480+480+480+480 Alphacool

Trädvy Permalänk
Medlem
Registrerad
Apr 2006
Skrivet av Jackbob:

Skulle du kunna vara vänlig att berätta för mig som är så ovetande hur mycket Asus Live Update jag har i mitt Ubuntu? Tack på förhand.

Det är svårt att bli infekterad av oexisterande programvara.

Dold text

Asus BIOS programvara innehåller stöd för att uppdatera BIOS direkt över Internet och är det ASUS egen uppdateringstjänst som blivit hackat finns det nog anledning att tro att det kan gälla även denna (oavsett om det står i media eller inte)

Trädvy Permalänk
Medlem
Plats
Norrlands skogar
Registrerad
Mar 2014
Skrivet av improwise:

Asus BIOS programvara innehåller stöd för att uppdatera BIOS direkt över Internet och är det ASUS egen uppdateringstjänst som blivit hackat finns det nog anledning att tro att det kan gälla även denna (oavsett om det står i media eller inte)

Fast nu är det ju du själv som påstår att detta hack även påverkar Linux, samtidigt som du nu helt och hållet spekulerar i att andra programvaror som inte nämns också är drabbade. Alltså inte alls det som "diskuteras här". Jag skulle för övrigt aldrig uppdatera bios över internet. Och dessutom så betvivlar jag starkt att deras laptopbios har dessa bios funktioner.

Nu äger jag ingenting alls från Asus så oavsett så drabbar detta inte mig ändå.

Skrivet av improwise:

Perfekt för angriparna, innebär knappast något som helst skydd mot det hack dom diskuteras här samtidigt som du själv är övertygad om att du är säker och sänker garden

Trädvy Permalänk
Medlem
Registrerad
Apr 2006
Skrivet av Jackbob:

Fast nu är det ju du själv som påstår att detta hack även påverkar Linux, samtidigt som du nu helt och hållet spekulerar i att andra programvaror som inte nämns också är drabbade. Alltså inte alls det som "diskuteras här". Jag skulle för övrigt aldrig uppdatera bios över internet. Och dessutom så betvivlar jag starkt att deras laptopbios har dessa bios funktioner.

Nu äger jag ingenting alls från Asus så oavsett så drabbar detta inte mig ändå.

Som alltid med säkerhetsproblem är det väl svårt att få exakt information om vad de gäller (vilket väl är bra). Men om det nu är så att ASUS uppdateringstjänst blivit hackad och det skett internt är det inte osannolikt att även BIOS uppdateringar skulle påverkas och om så är fallet så kvittar det vilket OS man kör. Men ja, det är ingenting jag vet utan ett rent antagande från min sida utifrån det jag läst om detta, så det kan mycket väl vara fel.

Trädvy Permalänk
Medlem
Registrerad
Jun 2013

Hellre en bakdörr från Asus än att jag installerar någon som helt ”fix” från Kaspersky...

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Mar 2018
Skrivet av addek83:

Hellre en bakdörr från Asus än att jag installerar någon som helt ”fix” från Kaspersky...

Vilken fix pratar du om?

Trädvy Permalänk
Medlem
Plats
Sundsvall
Registrerad
Okt 2003
Skrivet av Awakeruad:

... en attack på en Taiwanesisk firma gör ganska automatiskt att Kina blir misstänkt #1.

Knappast, eftersom Asus inte är målet utan verktyget.
Vore intressant att analysera listan över MAC-adresser och studera var dessa enheter befinner sig rent fysiskt, eftersom det är de som är mål för attacken.
Sedan är det möjligt (sannolikt?) att de datorerna i sin tur bara ska användas för att ta attacken vidare in i de(t) känsligare system som är det egentliga målet.

För övrigt anser jag att MS FlightSim X borde vara standard som ett av benchmarkprogrammen.

Trädvy Permalänk
Avstängd
Registrerad
Dec 2018

Och Huawei "råkar" göra drivers med bakdörrar på sina laptops
https://arstechnica.com/gadgets/2019/03/how-microsoft-found-a...

Trädvy Permalänk
Medlem
Registrerad
Jun 2013
Skrivet av BrunoX:

Vilken fix pratar du om?

Kanske inte fix, men möjlighet till detektion framgår av artikeln;

”För att se om du är drabbad finns en verktyg att ladda hem på Kaspersky Labs webbplats.”

Trädvy Permalänk
Medlem
Registrerad
Jul 2015

1) Det var Kina som låg bakom attacken.
2) Tre mjukvarutillverkare i Asien har också angripits, dvs det är definitivt inte en insider i ASUS.
3) Antalet infekterade datorer uppskattas till över en miljon.
https://www.tomsguide.com/us/chinese-hackers-asus-kaspersky,n...

Trädvy Permalänk
Medlem
Registrerad
Jul 2015
Skrivet av addek83:

Kanske inte fix, men möjlighet till detektion framgår av artikeln

Kaspersky må vara en front för en underrättelsetjänst precis som Huawei, men jag betvivlar att de gömmer malware i ett så litet och lättstuderat program.

Trädvy Permalänk
Medlem
Plats
Cyberspace
Registrerad
Apr 2008
Skrivet av Olle P:

Vore intressant att analysera listan över MAC-adresser och studera var dessa enheter befinner sig rent fysiskt, eftersom det är de som är mål för attacken.

Det vore bortkastad tid eftersom det är inte så det fungerar.

There are two kinds of people: 1. Those that can extrapolate from incomplete data.
Min tråkiga hemsida om mitt bygge och lite annat smått o gott: www.2x3m4u.net