31/03/19
На этой неделе специалисты «Лаборатории Касперского» сообщили о вредоносной кампании против владельцев компьютеров ASUS. По их данным, злоумышленники взломали утилиту ASUS Live Update и внедрили в нее бэкдор. Хотя вредоносную версию утилиты загрузили десятки тысяч пользователей, интерес для киберпреступников представляли только порядка 600 систем, MAC-адреса которых были вшиты в бэкдор.
Специалисты «Лаборатории Касперского» не стали публиковать список, но запустили специальный online-сервис, позволяющий владельцам компьютеров ASUS проверить наличие в нем своего MAC-адреса. Компания также представила исполняемый файл, позволяющий узнать, был ли компьютер атакован. Однако большим корпорациям с сотнями тысяч систем по отдельности проверять каждый MAC-адрес весьма накладно.
Для того чтобы решить эту проблему и помочь ИБ-экспертам в выявлении связанных вредоносных кампаний, специалист компании Skylight Сахар Зини (Shahar Zini) опубликовал список из 583 MAC-адресов, интересовавших киберпреступников. Исследователь также представил полный отчет о том, как ему удалось получить этот список.
Для получения списка Зини воспользовался исполняемым файлом «Лаборатории Касперского». Поскольку файл представляет собой offline-инструмент, в нем содержится полный список MAC-адресов, защищенных с помощью хеширования и соли. С помощью мощного сервера Amazon и модифицированной версии инструмента HashCat исследователь менее чем за час взломал алгоритм хеширования и извлек 583 адреса из 619.
«Если информация о намеченных целях есть, значит, она должна быть доступна для ИБ-сообщества, чтобы мы могли лучше себя защитить», - заявил Зини.
