Ce ar trebui să știi despre ShadowHammer, atacul care a folosit ASUS Live Update

Ce ar trebui să știi despre ShadowHammer, atacul care a folosit ASUS Live Update

În ianuarie 2019, sistemele Kaspersky Lab au descoperit un atac complex, de tip supply-chain (asupra lanțului de distribuție al unei companii), care a folosit utilitarul ASUS Live Update și s-a derulat între iunie și noiembrie 2018.

ASUS Live Update este preinstalat pe majoritatea computerelor ASUS și, după cum îi spune numele, este folosit pentru actualizarea automată a diverselor  componente, printre care o serie de aplicații și drivere. În cazul acestui atac cibernetic, utilitarul a fost modificat. I-a fost adăugat un backdoor, apoi a fost semnat cu un certificat digital valid și distribuit prin canale oficiale ASUS.

Cele mai interesante aspecte ale acestui atac derulat prin ASUS Live Update

Potrivit estimărilor noastre, utilitarul compromis a ajuns la aproximativ un milion de persoane, dar atacatorii au vizat anumite adrese de MAC – ale căror hash-uri erau codate de autori direct în versiunile malware-ului. Până acum, am detectat peste 600 adrese unice de MAC, dintre cele 200 de mostre folosite în atac. Este posibil să existe și alte mostre, cu alte adrese de MAC ca ținte.

Atacatorii au vizat și companii de gaming, infectându-le soft-ul prin intermediul unor instrumente de dezvoltare de cod, cum ar fi compilatoarele. Cu ajutorul lor, au fost compilate fișierele executabile care au fost livrate apoi utilizatorilor finali.

Atacatorii au avut o grijă deosebită să nu fie descoperiți, asigurându-se că este folosit un certificat digital original și chiar că dimensiunea utilitarului este foarte similară cu cea originală. Astfel, au putut rămâne mai multe luni pe serverul ASUS pentru actualizări.

România se află în top 20 de țări ca procent de victime din numărul total de utilizatori, conform statisticilor noastre.

Codul folosit pentru a compromite sistemele a fost o variantă actualizată din operațiunile ShadowPad și CCleaner. Însă, comparativ cu CCleaner, de exemplu, în cazul ShadowHammer nu este un trafic de rețea suspect în rândul majorității covârșitoare a victimelor, care să fi atras atenția.

ASUS a actualizat Live Update, prin versiunea 3.6.8, pe 26 martie. Aceasta rezolvă vulnerabilitățile care îi permiteau unui atacator să preia controlul asupra sistemului afectat. Recomandăm tuturor utilizatorilor să își instaleze update-ul, dacă nu au făcut deja acest lucru.

Este greu, dacă nu chiar imposibil, de spus pe cine vizau, de fapt, atacatorii. Mai mult, diferitele versiuni ale soft-ului cu backdoor, au vizat adrese MAC diferite, unele având o listă mai mare  altele mai restrânsă.

Ca măsuri de prevenție, având în vedere că atacurile de tip supply-chain devin din ce în ce mai răspândite, este nevoie de soluții la fel de complexe de securitate care să le facă față. Simpla protecție a dispozitivelor – endpoint – nu este suficientă.

Bineînțeles, mare atenție la partenerii de afaceri – furnizori, cu care împărțiți baze de date sau au acces la rețeaua voastră. Ei sunt, de multe ori, călcâiul lui Ahile, care trece neobservat, echipele IT luând măsuri doar pentru securizarea propriului perimetru, fără să țină cont de terții cu care interacționează în mod constant și substanțial.

Dacă nu ai făcut asta deja, pentru a afla dacă ai fost printre țintele atacatorilor, îți poți verifica adresa MAC gratuit pe Internet, inclusiv aici.


Conținutul articolelor din secțiunea Opinii reprezintă strict opiniile autorilor textelor și nu reprezintă neapărat poziția oficială a PLAYTECH.ro.

Dan Demeter
Articol scris de
Dan Demeter
Dan este Security Researcher în cadrul echipei globale de cercetare a Kaspersky, GReAT (Global Research and Analysis Team). Principalele lui domenii de interes sunt sistemele distribuite și atacurile informatice asupra sistemelor IoT.
Comentarii
07:55 / 15.05.2019