Un software ASUS a fost folosit pentru a livra viruși
Operațiunea ShadowHammer: noi atacuri asupra lanțului de aprovizionare amenință sute de mii de utilizatori ASUS din toată lumea.
Kaspersky Lab a descoperit o nouă campanie de tip APT care a afectat un număr mare de utilizatori. APT este o amenințare complexă și persistentă prin ceea ce este cunoscut drept un atac asupra lanțului de aprovizionare. Autorii operațiunii ShadowHammer au vizat utilizatorii utilitarului ASUS Live Update, prin injectarea unui backdoor.
Acest lucru s-ar fi întâmplat cel puțin în perioada iunie-noiembrie 2018. Experții Kaspersky Lab estimează că atacul ar fi afectat peste un milion de utilizatori din întreaga lume.
Atacatorii au vizat utilitarul ASUS Live Update ca sursă inițială de infecție. Acesta este preinstalat în majoritatea noilor calculatoare ASUS, pentru actualizări automate de BIOS, UEFI, drivere și aplicații. Atacatorii au modificat versiunile mai vechi ale software-ului ASUS, prin injectarea de cod periculos. Au apelat la certificate digitale furate, folosite de companie pentru a semna binarele legitime.
„Companiile selectate sunt ținte extrem de atractive pentru grupurile APT care ar dori să profite de vasta lor bază de clienți”, spune Vitaly Kamluk, Director of Global Research and Analysis Team, APAC, Kaspersky Lab. „Nu este încă foarte clar care a fost obiectivul final al atacatorilor și încă cercetăm cine a fost în spatele atacului. Cu toate acestea, tehnicile folosite pentru executarea codului neautorizat, precum și alte artefacte descoperite sugerează că ShadowHammer are probabil legătură cu BARIUM APT, care anterior a fost asociat cu incidentele ShadowPad și CCleaner, printre altele”, a adăugat acesta.
Versiunile cu troieni ale utilitarului au fost semnate cu certificate legitime și au fost găzduite și distribuite de serverele legitime de actualizare ASUS. Acest lucru ce le-a făcut practic invizibile pentru majoritatea soluțiilor de protecție.
Cum s-a desfășurat atacul asupra software-ului ASUS
Fiecare cod backdoor conținea un tabel de adrese MAC hardcoded – identificatorul unic al adaptoarelor de rețea, folosit pentru conectarea unui computer la o rețea. Odată ce rula pe dispozitivul victimei, backdoor-ul își verifica adresa MAC în acest tabel. Dacă adresa MAC corespundea uneia dintre intrări, malware-ul descărca următoarea etapă a codului infectat. În caz contrar, updater-ul infiltrat nu afișa nicio activitate de rețea, motiv pentru care a rămas nedescoperit atâta vreme.
În total, experții în securitate au putut identifica mai mult de 600 de adrese MAC. Acestea au fost vizate de peste 230 de eșantioane unice cu backdoor, cu diferite shellcodes.
Abordarea modulară și măsurile de precauție suplimentare luate indică faptul că a fost foarte important pentru autorii atacului să rămână nedetectați. Au reușit să lovească ținte bine definite, cu o precizie chirurgicală. Analiza tehnică arată că arsenalul atacatorilor este foarte avansat și reflectă un nivel foarte ridicat de dezvoltare în cadrul grupului.
Teoretic, fiecare utilizator al software-ului afectat ar fi putut deveni o victimă. Totuși, autorii ShadowHammer s-au concentrat pe accesul unor sute de utilizatori, despre care aveau cunoștințe anterioare.
Căutarea de malware similar a scos la iveală software-ul de la alți trei furnizori din Asia. Toți foloseau metode și tehnici foarte asemănătoare. Kaspersky Lab a raportat problema către Asus și alți furnizori.
Toate produsele Kaspersky Lab detectează și blochează malware-ul folosit în operația ShadowHammer.
Kaspersky Lab recomandă implementarea următoarelor măsuri:
- Pe lângă protecția endpoint obligatorie, implementați o soluție de securitate corporate. Aceasta detectează într-o fază incipientă amenințări avansate la nivel de rețea;
- Pentru detectarea la nivel endpoint, investigarea și remedierea în timp util a incidentelor, vă recomandăm să implementați soluții EDR, cum ar fi Kaspersky Endpoint Detection and Response sau să contactați o echipă specializată de răspuns la incidente;
- Integrați feed-urile de informații despre amenințări în sistemele SIEM și în alte controale de securitate pentru a avea acces la cele mai relevante și actualizate date despre amenințări și a vă putea pregăti pentru atacuri viitoare.