Не прошло и двух месяцев, как исследователи по безопасности вычислительных платформ снова уличили облачный сервис ASUS в рассылке бэкдоров. На этот раз скомпрометированным оказался сервис и ПО WebStorage. С его помощью хакерская группа BlackTech Group устанавливала на компьютеры жертв вредоносное программное обеспечение Plead. Точнее, японский специалист по кибербезопасности компания Trend Micro считает ПО Plead инструментом группы BlackTech, что позволяет с определённой степенью точности определить злоумышленников. Добавим, группа BlackTech специализируется на кибершпионаже, а объектами её внимания считаются государственные институты и компании в Юго-Восточной Азии. Ситуация со свежим взломом ASUS WebStorage имела отношение к деятельности группы на Тайване.
Активность Plead в программе ASUS WebStorage в конце апреля обнаружили специалисты компании Eset. Ранее группа BlackTech распространяла Plead с помощью фишинговых атак через рассылку по электронной почте и через маршрутизаторы с открытыми уязвимостями. Последняя атака оказалась необычной. Хакеры внедрили Plead в программу ASUS Webstorage Upate.exe, которая является фирменным инструментом компании для обновлений ПО. Затем бэкдор активировался также фирменной и доверенной программой ASUS WebStorage.
По мнению специалистов, внедрить бэкдор в утилиты ASUS хакеры смогли благодаря недостаточной защите в протоколе HTTP с помощью так называемой атаки «человек посредине» (man-in-the-middle). Запрос на обновление и передачу файлов с сервисов ASUS по HTTP может быть перехвачен, и вместо доверенного ПО жертве передаются заражённые файлы. В то же время у ПО ASUS отсутствуют механизмы проверки подлинности загруженных программ перед выполнением на компьютере жертвы. Перехват обновления возможен на скомпрометированных маршрутизаторах. Для этого достаточно халатного отношения администраторов к установкам по умолчанию. Большинство маршрутизаторов в атакуемой сети от одного производителя с логинами и паролями заводской установки, информация о которых не является тайной за семью печатями.
Сервис ASUS Cloud оперативно отреагировал на уязвимость и обновил механизмы на сервере обновлений. Тем не менее, компания рекомендует пользователям проверить собственные компьютеры на наличие вирусов.