Ako zistila skupina vedcov z taiwanského ESET-u, pred pár dňami sa objavilo hlásenie, že malware BlackBerry bol používaný skupinou BlackTech pri cielených útokoch zameraných na aktivity počítačovej špionáže, najmä v ázijských krajinách. Zdá sa, že tento program bol distribuovaný prostredníctvom kompromitovaných smerovačov, ktoré zneužívajú službu ASUS WebStorage.
Stalo sa to koncom apríla, keď pozorovali viacnásobné pokusy o neobvyklé šírenie škodlivého softvéru Plead . Backdoor zabudovaný do aplikácie Plead bol vytvorený a spustený pomocou legitímneho procesu s názvom AsusWSPanel.exe. Tento proces patrí klientovi služieb cloudového úložiska s názvom ASUS WebStorage. Bolo známe, že spustiteľný súbor bol digitálne podpísaný spoločnosťou ASUS Cloud Corporation. Netreba dodávať, že vedci z ESETu už informovali spoločnosť ASUS o tom, čo sa stalo.
MitM Attack (Muž v strede)
Zo spoločnosti ESET majú tiež podozrenie, že by mohlo ísť o útok „man-in-the-middle“, čo v preklade do španielčiny znamená „útok v strede“ alebo „útok v strede“. Hovorí sa, že ASUS WebStorage softvér by bolo náchylné k takým útokom , ktoré by sa konali v priebehu procesu aktualizácie aplikácie ASUS vyslobodzovať Zasaď backdoor na svoje obete.
Ako je známe, aktualizačný mechanizmus pre ASUS WebStorage zahŕňa zaslanie žiadosti klienta o aktualizáciu pomocou protokolu HTTP. Po prijatí pozvánky server odpovie vo formáte XML s odpoveďou a sprievodcom. Softvér potom skontroluje, či je nainštalovaná verzia staršia ako najnovšia verzia. V takom prípade požiadajte o binárny súbor pomocou poskytnutej adresy URL.
To je prípad, keď útočníci môžu spustiť aktualizáciu nahradením týchto dvoch položiek pomocou vlastných údajov. Obrázok vyššie ukazuje, ktorý je najpravdepodobnejším scenárom použitým na vloženie škodlivého užitočného zaťaženia na konkrétne ciele prostredníctvom napadnutých smerovačov.