De Asus Live Update-software, die geïnstalleerd staat op laptops en pc's van de Taiwanese fabrikant, bevatte tussen juni en november 2018 een backdoor. Kwaadwillenden konden daardoor malware installeren. Zij richtten zich op specifieke mac-adressen.
Kaspersky ontdekte de aanwezigheid van de backdoor in januari en heeft Asus eind die maand ingelicht. Volgens de beveiligingsonderzoekers was de updatesoftware tussen juni en november 2018 besmet met de backdoor.
Kaspersky noemt de aanval ShadowHammer en heeft voor gebruikers een tool online gezet waarmee ze kunnen controleren of hun Asus-laptop de backdoor bevat. Ook heeft het bedrijf een pagina gemaakt waarop gebruikers kunnen controleren of hun mac-adres op de lijst van doelwitten staat. Het beveiligingsbedrijf heeft nog niet alle technische details bekendgemaakt; dat zal begin april gebeuren tijdens de Security Analyst Summit in Singapore.
Met de backdoor in de Asus Live Update-software kunnen kwaadwillenden malware installeren op alle computers waar de besmette software op staat. De backdoor was moeilijk te ontdekken omdat de besmette updates ondertekend waren met officiële certificaten van Asus en de geïnfecteerde software stond op officiële updateservers van de fabrikant. Ook werd de backdoor niet op grote schaal gebruikt om malware te installeren; daardoor bleef hij lang onopgemerkt.
Volgens Kaspersky werd de backdoor in de Asus-software gebruikt voor gerichte aanvallen op specifieke mac-adressen. Kaspersky zegt zeshonderd adressen in de besmette software gevonden te hebben die doelwit waren, maar dat zouden er meer kunnen zijn. De beveiligingsonderzoekers spreken over 'chirurgische precisie' en schrijven de backdoor daarom toe aan een zogenaamde APT-groep. Dat is een groep of organisatie die over zeer geavanceerde middelen beschikt. Dat kan bijvoorbeeld een overheidsorganisatie zijn. Kaspersky zegt aanwijzingen te zien die de aanval linken aan het ShadowPad-incident waarbij een backdoor aan CCleaner werd toegevoegd in 2017.
Volgens statistieken hebben meer dan 57.000 Kaspersky-gebruikers de Asus-tool met backdoor geïnstalleerd. Waarschijnlijk gaat het om veel meer gebruikers, omdat Kaspersky alleen van gebruikers die Kaspersky-software draaien, kan weten of zij de desbetreffende Asus-software hebben. Kaspersky schat dat het in totaal om meer dan een miljoen gebruikers gaat.
De Asus Live Update-tool staat standaard geïnstalleerd op laptops en pc's van de fabrikant. De software wordt gebruikt om driver-, bios- en uefi-updates te downloaden en om updates voor meegeleverde software te installeren.
Asus heeft nog niet gereageerd op de aanwezigheid van de backdoor. Ook heeft het bedrijf klanten nog niet ingelicht. Een beveiligingsonderzoeker van Kaspersky zegt in een interview met Motherboard dat er wel contact is geweest tussen de bedrijven, inclusief een ontmoeting halverwege februari, maar hij zegt dat Asus verder 'grotendeels niet reageert'.
Nieuwe laptops van Asus, waar de software ook op staat, hebben de betreffende backdoor niet. Dat heeft Tweakers kunnen verifiëren met het testexemplaar van de Asus ZenBook 13.