Operațiunea ShadowHammer: noi atacuri asupra lanțului de aprovizionare amenință sute de mii de utilizatori din toată lumea

26 martie 2019

Kaspersky Lab a descoperit o nouă campanie de tip APT (amenințare complexă și persistentă), care a afectat un număr mare de utilizatori prin ceea ce este cunoscut drept un atac asupra lanțului de aprovizionare. Cercetările noastre au arătat că autorii operațiunii ShadowHammer au vizat utilizatorii utilitarului ASUS Live Update, prin injectarea unui backdoor, cel puțin în perioada iunie-noiembrie 2018. Experții Kaspersky Lab estimează că atacul ar fi afectat peste un milion de utilizatori din întreaga lume.

Operațiunea ShadowHammer: noi atacuri asupra lanțului de aprovizionare amenință sute de mii de utilizatori din toată lumea

Un atac asupra lanțului de aprovizionare este unul dintre cei mai periculoși și mai eficienți vectori de infecție, folosit din ce în ce mai mult în operațiunile avansate din ultimii ani - după cum am văzut în cazul ShadowPad sau CCleaner. Vizează deficiențele specifice ale sistemelor interconectate ale resurselor umane, organizaționale, materiale și intelectuale implicate în ciclul de viață al produsului: de la etapa de dezvoltare inițială, până la utilizatorul final. Chiar dacă infrastructura unui producător este sigură, ar putea exista vulnerabilități la furnizorii săi, care sabotează lanțul de aprovizionare, ceea ce ar duce la o neașteptată și periculoasă breșă de date.

Atacatorii din spatele ShadowHammer au vizat utilitarul ASUS Live Update ca sursă inițială de infecție. Acesta este un utilitar preinstalat în majoritatea noilor calculatoare ASUS, pentru actualizări automate de BIOS, UEFI, drivere și aplicații. Utilizând certificate digitale furate, folosite de ASUS pentru a semna binarele legitime, atacatorii au modificat versiunile mai vechi ale software-ului ASUS, injectând codul periculos. Versiunile cu troieni ale utilitarului au fost semnate cu certificate legitime și au fost găzduite și distribuite de serverele legitime de actualizare ASUS - ceea ce le-a făcut practic invizibile pentru marea majoritate a soluțiilor de protecție.

Deși acest lucru înseamnă că, teoretic, fiecare utilizator al software-ului afectat ar fi putut deveni o victimă, autorii ShadowHammer s-au concentrat pe accesul la mai multe sute de utilizatori, despre care aveau cunoștințe anterioare. După cum au descoperit cercetătorii Kaspersky Lab, fiecare cod backdoor conținea un tabel de adrese MAC hardcoded - identificatorul unic al adaptoarelor de rețea, folosit pentru conectarea unui computer la o rețea. Odată ce rula pe dispozitivul victimei, backdoor-ul își verifica adresa MAC în acest tabel. Dacă adresa MAC corespundea uneia dintre intrări, malware-ul descărca următoarea etapă a codului infectat. În caz contrar, updater-ul infiltrat nu afișa nicio activitate de rețea, motiv pentru care a rămas nedescoperit atâta vreme. În total, experții în securitate au putut identifica mai mult de 600 de adrese MAC. Acestea au fost vizate de peste 230 de eșantioane unice cu backdoor, având diferite shellcodes.

Abordarea modulară și măsurile de precauție suplimentare luate atunci când codul este executat, pentru a preveni scurgerea accidentală de cod sau de date, indică faptul că a fost foarte important pentru autorii acestui atac complex să rămână nedetectați, în timp ce lovesc ținte bine definite, cu precizie chirurgicală. Analiza tehnică arată că arsenalul atacatorilor este foarte avansat și reflectă un nivel foarte ridicat de dezvoltare în cadrul grupului.

Căutarea de malware similar a scos la iveală software-ul de la alți trei furnizori din Asia, toți folosind metode și tehnici foarte asemănătoare. Kaspersky Lab a raportat problema către Asus și alți furnizori.

„Companiile selectate sunt ținte extrem de atractive pentru grupurile APT care ar dori să profite de vasta lor bază de clienți”, spune Vitaly Kamluk, Director of Global Research and Analysis Team, APAC, Kaspersky Lab. „Nu este încă foarte clar care a fost obiectivul final al atacatorilor și încă cercetăm cine a fost în spatele atacului. Cu toate acestea, tehnicile folosite pentru executarea codului neautorizat, precum și alte artefacte descoperite sugerează că ShadowHammer are probabil legătură cu BARIUM APT, care anterior a fost asociat cu incidentele ShadowPad și CCleaner, printre altele. Această nouă campanie reprezintă încă un exemplu privind complexitatea și gradul de periculozitate al unui atac inteligent asupra lanțului de aprovizionare, în prezent.”

Toate produsele Kaspersky Lab detectează și blochează malware-ul folosit în operația ShadowHammer.

Pentru a evita să deveniți victimele unui atac direcționat, din partea unui autor cunoscut sau necunoscut, cercetătorii Kaspersky Lab recomandă implementarea următoarelor măsuri:

  • Pe lângă protecția endpoint obligatorie, implementați o soluție de securitate corporate, care detectează într-o fază incipientă amenințări avansate la nivel de rețea;
  • Pentru detectarea la nivel endpoint, investigarea și remedierea în timp util a incidentelor, vă recomandăm să implementați soluții EDR, cum ar fi Kaspersky Endpoint Detection and Response sau să contactați o echipă specializată de răspuns la incidente;
  • Integrați feed-urile de informații despre amenințări în sistemele SIEM și în alte controale de securitate pentru a avea acces la cele mai relevante și actualizate date despre amenințări și a vă putea pregăti pentru atacuri viitoare.

Kaspersky Lab va prezenta concluziile complete privind operațiunea ShadowHammer în cadrul evenimentului Security Analyst Summit 2019, care are loc în Singapore, în perioada 9-11 aprilie.

Raportul complet despre campania ShadowHammer este deja disponibil pentru clienții serviciului Kaspersky Intelligence Reporting.

Pe blogul Securelist sunt disponibile un articol care rezumă atacul și un instrument conceput pentru a verifica dacă dispozitivele utilizatorilor au fost vizate.

Kaspersky

Kaspersky

Kaspersky Lab este unul dintre furnizorii de soluții de securitate informatică cu cea mai rapidă creștere la nivel mondial. În prezent, compania este una dintre cele mai importante patru companii de securitate IT*, continuând să-și îmbunătățească poziția pe piață. Potrivit rezultatelor financiare ale companiei î...

Cauți o aplicație software?

Completați formularul și veți fi contactat de unul din consultanții noștri!

Aplicații software recomandate
Kaspersky Anti-Virus 2015

Kaspersky Anti-Virus 2015 vă oferă tehnologii antivirus esențiale pentru PC-ul dumneavoastră cu o protecție in timp real bazată pe cloud - pentru cele mai noi amenințări de tip malware. Lucrând in fundal - cu un scan inteligent si update-uri mici si frecvente - tehnologia proactivă vă protejează PC-ul atât de amenințările cunoscute,cat si de cele mai noi amenințări, fără să...

Citește tot arrow_forward
Kaspersky-Internet Security 2015

Kaspersky Internet Security 2015 combină o arie vastă de tehnologii ușor de folosit și riguroase pentru a vă proteja de orice tip de malware, dar si de amenințările existente pe Internet - inclusiv cybercriminalii care încearcă să vă fure banii sau identitatea. Kaspersky Lab vă oferă o soluție de securitate cu un impact minim asupra performanței PC-ului. Construit după tehn...

Citește tot arrow_forward
KasperskySmall Office Security 3

Kaspersky Small Office Security este o soluție special creată pentru microintreprinderi. Oferă o protecție de nivel înalt pentru PC si server, fiind ușor si rapid de instalat, configurat si utilizat. De asemenea, puteți administra securitatea întregii rețele de la un singur PC. Cu ajutorul bazei de date de semnături Kaspersky Lab, actualizărilor frecvente si al protecției ...

Citește tot arrow_forward
Articole IT&C similare

Techcelerator face echipă cu Google Developers Launchpad – primul parteneriat de acest tip din România

Începând cu această săptămână, Techcelerator, programul de accelerare din București și Cluj și unul dintre catalizatorii relevanți ai creșterii și dezvoltării ecosistemului tehnologic local, va face echipă cu Google Developers Launchpad pentru a sprijini segmentul în creștere al startup-urilor din România. Techcelerator sprijină financiar startup-urile d...

Citește tot arrow_forward

Intracom Telecom îmbunătățește conectivitatea comunicatiilor poliției metropolitane din Varșovia cu soluția OmniBAS ™

Intracom Telecom, furnizor global de sisteme si solutii de telecomunicații, în parteneriat cu Xentia, un distribuitor polonez de soluții wireless de voce, date și soluții broadband pentru sisteme de supraveghere, va extinde sistemul DMR Simulcast al Politiei  Metropolitane din Varșovia (KSP Varșovia), folosind platforma OmniBAS ™ ca platforma de comunicatii radio (microunde)...

Citește tot arrow_forward

Alpha Hub, primul program pentru startup-uri inițiat de Paddy Power Betfair, generează două parteneriate comerciale

Lansat în Cluj-Napoca, programul a atras aplicații de la 200 de startup-uri din 54 de țări

Citește tot arrow_forward