Poslední týden v březnu by se dal bez nadsázky označit jako černý týden této společnosti. Vyšly totiž najevo hned dva bezpečnostní problémy.
Na ten první upozornila ruská bezpečnostní firma Kaspersky. Zjistila, že program Asus Live Update Utilit, který se stará o aktualizaci firmwaru, BIOSu a dalšího softwaru, byl napaden hackery.
Jeho prostřednictvím pak mohli útočníci distribuovat zadní vrátka do systému uživatele. Následně je mohli využít k instalování dalších škodlivých programů. Podle antivirové firmy bylo takto napadeno asi 57 tisíc počítačů, které mají nějaký produkt z její dílny. Zároveň firma zveřejnila odhady, že by takto mohlo být zaútočeno až na jeden milion zařízení Asus.
Ve výsledku však firma Kaspersky zaznamenala jen asi 600 skutečně zavirovaných počítačů.
Největším problémem bylo, že se takto napadený program nacházel přímo na serverech, odkud si jej počítače stahovaly a to včetně certifikátů, které mají ověřovat původ programu.
Útok byl označen jako APT (Advanced Persistent Threat), což je typ útoku, za kterým obvykle stojí spíše než obyčejní hackeři státy nebo korporace. Nasvědčoval by tomu i nízký počet napadených počítačů.
Samotný Asus problém přiznal.
„Na malé množství zařízení byl instalován škodlivý kód prostřednictvím sofistikovaného útoku na naše servery Live Update ve snaze zaměřit se na velmi malou a specifickou skupinu uživatelů,“ píše ve zprávě k incidentu firma a dodává, že postižené kontaktovala a nabídla pomoc při odstranění viru. Zároveň vydala novou verzi programu (verze 3.6.8), která již zadní vrátka neobsahuje. Firma také oznámila, že přijala opatření, která mají takovým typům útoku zabránit. Asus zároveň vydal program, který případné napadení počítače odhalí.
Uniklá hesla
Druhý incident je také závažný. Upozornil na něj analytik, který vystupuje pod přezdívkou SchizoDuckie, a svěřil se serveru TechCrunch. Podle něj zaměstnanci Asusu špatně uschovali některá hesla v datovém úložišti na webu GitHubu.
GitHub je server, který využívají různí vývojáři ke zveřejňování svých projektů včetně zdrojového kódu či ke sdílení nápadů. Jednou z funkcí je i možnost týmové práce na programu s náhledem na různé starší verze zdrojového kódu.
Kvůli výše zmíněné neopatrnosti tak analytik získal hesla pro přístup k firemnímu e-mailu několika zaměstnanců. Přes jeden z nich získal i přístup k e-mailovému účtu, kde byly sdíleny pracovní verze kódů ovladačů a aplikací.
Analytik na chybu firmu upozornil již před dvěma měsíci. Asus nechal následně promazat dotčené účty na GitHubu.
