爆用戶遭駭客植入病毒 華碩回應:僅數百台受影響

華碩更新伺服器遭駭之事件,從新聞媒體所披露之訊息來看,這是一起運用水坑式攻擊手法來滲透特定目標單位的APT攻擊行動,駭客藉由滲透華碩的更新伺服器,進而向下滲透華碩的客戶電腦。然這類攻擊行動並非首見,早在2013/3/20 14:00南韓三大電視台及全國超過半數的ATM系統遭到惡意程式攻擊癱瘓導致民眾恐慌,事後經由電腦鑑識分析發現駭客因洞悉這些企業均採用南韓的防毒軟體,駭客藉由滲透這些防毒軟體廠商的線上更新伺服器並置換更新包,如此這些企業的電腦/ATM定時自動下載更新包時就遭到惡意程式感染等待2013/3/20 14:00被喚醒進行破壞系統。

國內類似案例發生在2013/5/15,某公務機關負責電子公文交換系統的人員在下載電子公文官網的eClient更新包時防毒軟體跳出告警通知該更新包內含惡意程式,隨後清查發現全台超過7千個公務機關受到影響,駭客襲擊置換公文系統官網的eClient更新包,各機關內的下載更新流程不嚴謹/防毒軟體無法辨識如此惡意程式就藉由安裝更新包輕鬆地滲透進入公務機關的網路。

這次華碩的更新伺服器遭駭雖與前述兩個案例如出一徹,但這次事件駭客在更新包內的惡意程式所採用的數位簽章”ASUSTek Computer Inc.”竟為合法,讓人不禁懷疑是否數位簽章已遭到盜取值得深入分析了解。且相關客戶電腦若已自動下載完成更新卻沒有任何告警,表示該單位相關資安閘道設備及端點防毒系統已失靈。面對這類攻擊建議必須輔以端點惡意行為鑑識軟體來 來偵蒐獵殺,若能結合情資整合還可提升惡意網址/惡意中繼站的偵測覆蓋率,更進一步阻絕任何惡意連網行為,強化企業/單位的整體防禦能量。

 

詳文請見 東森新聞 原文新聞稿