מידי כמה זמן אנחנו מתבקשים לעדכן את גרסת התוכנה בסמארטפון או במחשב שלנו, ומדובר בפעולה שגרתית למדי שאנחנו כבר רגילים לעשות. אלא שכעת מתברר כי האקרים ניצלו את העובדה הזו על מנת להחדיר למחשבים מתוצרת ASUS, אחת מיצרניות המחשבים המוכרות והגדולות בעולם, קובץ זדוני שהתגנב לעדכון תוכנה שנראה לגיטימי לחלוטין.
מי שעומדת מאחורי הגילוי האחרון היא מעבדת קספרסקי, שחשפה קמפיין חדש של איום מתמשך, מה שנקרא APT, שפעל באמצעות מתקפה מסוג ״שרשרת אספקה״; במסגרת הפרשה המדוברת, הותקפה תוכנת ASUS Live Update Utility כנקודת המוצא באמצעות הזרקה של דלת אחורית. התוכנה המדוברת מותקנת באופן מובנה במרבית מחשבי ה-ASUS החדשים על מנת לבצע עדכונים אוטומטיים של אפליקציות, דרייברים ו-BIOS.
באמצעות תעודות דיגיטליות גנובות ששימשו את ASUS כדי לבצע חתימה לקוד שהיא מפיצה, התוקפים הצליחו לחבל בגרסאות ישנות יותר של התוכנה, כשהם מצליחים להזריק אליהן את הקוד הזדוני שלהם. הגרסאות הפגומות של הכלי נחתמו עם תעודות לגיטימיות, ונשמרו והופצו בשרתי העדכון הרשמיים של ASUS – דבר שהפך אותן לבלתי נראות עבור רוב פתרונות ההגנה. כתוצאה מכך, כל משתמש בתוכנת העדכון הנגועה עלול היה להפוך לקורבן, ואנחנו מדברים על פוטנציאל של מאות אלפים ואולי אפילו מיליוני משתמשים.
בפועל, התוקפים התמקדו בהשגת גישה למאות בודדות של משתמשים, לגביהם היה להם מידע מוקדם. חוקרי מעבדת קספרסקי חשפו כי כל קוד של דלת אחורית הכיל טבלה של מקודדת של כתובות MAC –המזהה הייחודי של מתאמי רשת המשמשים לצורך חיבור של מחשב לרשת. ברגע שהדלת האחורית הופעלה במחשב הקורבן, היא בדקה את כתובת ה-MAC אל מול הטבלה המקודדת. אם הכתובת תאמה לאחד מהמספרים בטבלה, הקוד הזדוני הוריד את השלב הבא של הקוד. אחרת, תוכנת העדכון הפרוצה לא ביצעה שום פעילות ברשת, דבר שאפשר לה להישאר נסתרת לזמן רב. בסך הכל, מומחי האבטחה הצליחו לזהות יותר מ-600 כתובות MAC. אלה הותקפו באמצעות יותר מ-230 דוגמיות ייחודיות של דלת אחורית עם shellcodes שונים.
במסגרת חיפוש אחר קוד זדוני דומה, חשפה קספרסקי תוכנה של שלושה ספקים נוספים באסיה אשר נפרצו עם דלת אחורית בשיטות וטכניקות דומות מאוד. בנוהל, קספרסקי דיווחה על הבעיה ל-Asus ולספקים האחרים, כאשר ההתקפה המדוברת נערכה בתקופה שבין יוני לנובמבר 2018.