Cyberprzestępcy włamali się na serwery Asusa. Dlatego poprzez usługę Asus Live Update użytkownicy ściągali na komputery i płyty główne trojana o nazwie ShadowHammer. Zagrożenie trwało od czerwca do listopada 2018 r. – ustalił Kaspersky Lab. Odnotował 57 tys. zarażonych urządzeń. Ale to tylko te, na których działa oprogramowanie rosyjskiej firmy. Liczbę zagrożonych PC szacuje się na ok. 1 mln.  

Asus Live Update służy do automatycznej aktualizacji BIOS-u, UEFI, sterowników i aplikacji. Wersje narzędzia zawierające trojana zostały podpisane przy pomocy autentycznych certyfikatów i były niewidoczne dla antywirusów.

Nie jest jasne, jakie zadania miał trojan ani kto stał za atakiem, choć zdaniem specjalistów ślady wskazują na powiązania z grupą o nazwie Barium Apt. Kaspersky twierdzi, że narzędzia cyberprzestępców były bardzo zaawansowane. Wykryto również podobne ataki na trzech innych producentów z Azji. Wszystkich zainfekowano przy użyciu bardzo podobnych metod. Rosyjska firma nie ujawnia nich nazwy.

Według Kaspersky'ego mimo że atakujący mieli możliwość wykorzystania setek tysięcy zainfekowanych urządzeń Asusa, skupili się zaledwie na kilkuset użytkownikach, o których najwyraźniej wcześniej coś wiedzieli. Każdy kod trojana zawierał tablicę zakodowanych adresów MAC (stanowią unikatowy identyfikator kart sieciowych wykorzystywanych do łączenia komputera z siecią). Po uruchomieniu się na urządzeniu ofiary szkodnik sprawdzał, czy jego adres MAC znajduje się w takiej tabeli. Jeśli adres odpowiadał jednemu z wpisów, trojan pobierał kolejną część szkodliwego kodu. Zidentyfikowano w sumie ponad 600 adresów MAC ofiar.