這是你永遠不想發生的事情。來自卡巴斯基實驗室的研究人員發現，黑客已經滲透到全球最大的計算機制造商之一華碩，并將后門“ShadowHammer”木馬屏蔽為合法更新，然后通過華碩實時更新工具推送給用戶。

華碩已經正式回應了這些聲明，為用戶發布診斷功能，檢查他們的機器和新的安全補丁，以修復受影響的筆記本電腦。

根據研究人員的說法，供應鏈攻擊使用被盜數字證書將惡意軟件掩蓋為合法的華碩更新，然后通過ASUS機器上預安裝的ASUS實時更新工具進行分發。根據他們的統計數據，華碩機器上大約57,000名卡巴斯基用戶在去年6月至11月的某個階段下載并安裝了受損版本的華碩Live Update。卡巴斯基只能計算安裝了卡巴斯基反病毒軟件的受影響用戶，但他們斷言“問題的真正規模”可能會影響全球數百萬臺華碩機器。

卡巴斯基于今年1月31日向華碩通報了他們的調查結果，主板 - 最初報告調查結果 -上周與華碩聯系，要求回應研究人員的說法。Kotaku Australia周二聯系華碩當地團隊要求回復，并被告知當天晚些時候將發布官方聲明。

官方回應今天早上在華碩網站上發布，臺灣制造商稱這次襲擊來自“高級持續性威脅”組織，這些組織通常由民族國家運營。“高級持續威脅(APT)攻擊是通常由幾個特定國家發起的國家級攻擊，針對某些國際組織或實體而非消費者，”該公司表示。

華碩對受影響的機器數量提出異議，稱“只有極少數特定用戶群被發現是這次攻擊的目標”。

“通過對我們的實時更新服務器的復雜攻擊，少數設備已被植入惡意代碼，企圖以非常小的特定用戶群為目標，”華碩寫道，沒有提供有關該用戶組的詳細信息。

然而，這篇文章并沒有完全挑戰卡巴斯基的一些主張。研究人員聲稱這次攻擊已經導致數百萬臺PC受到攻擊，但他們指出，負責黑客主要集中在瞄準選定機器上。

雖然這意味著受影響的軟件中的每個用戶都可能成為受害者，但ShadowHammer背后的演員專注于獲得他們之前所知的數百個用戶的訪問權限。正如卡巴斯基實驗室的研究人員發現的那樣，每個后門代碼都包含一個硬編碼MAC地址表 - 用于將計算機連接到網絡的網絡適配器的唯一標識符。一旦在受害者的設備上運行，后門就會根據此表驗證其MAC地址。

如果MAC地址與其中一個條目匹配，則惡意軟件會下載下一階段的惡意代碼。否則，滲透的更新程序沒有顯示任何網絡活動，這就是為什么它在這么長時間內仍然未被發現。總的來說，安全專家能夠識別600多個MAC地址。這些是針對超過230個具有不同shellcode的獨特后門樣本的目標。

卡巴斯基研究人員將在下個月在新加坡舉行的2019年安全分析師峰會上展示他們關于Operation ShadowHammer的更多調查結果。該公司還建立了一個網站，供用戶檢查其機器中的MAC地址是否受到損害。