ShadowHammer - potężny atak na użytkowników komputerów firmy ASUS [AKT.]

Badacze firmy Kaspersky Lab odkryli potężny atak na użytkowników komputerów i laptopów firmy ASUS. Sprawa jest o tyle istotna, że wśród poszkodowanych są również Polacy.

Scenariusz ataku ShadowHammer był wyjątkowo podstępny. Przestępcy zainfekowali oprogramowanie ASUS Live Update Utility, a więc autorskie narzędzie producenta, służące do automatycznej aktualizacji oprogramowania, sterowników, BIOS-u i UEFI. Zmodyfikowany plik został podpisany prawidłowym certyfikatem i umieszczony na oficjalnym serwerze producenta, skąd był pobierany przez nieświadomych użytkowników.

Według oficjalnych statystyk około 3% poszkodowanych do Polacy

Według oficjalnych statystyk, zainfekowane oprogramowanie zainstalowało ponad 57 000 użytkowników produktów Kaspersky Lab (ujawnione dane wskazują, że około 3% z nich to Polacy). Rosyjscy badacze podejrzewają jednak znacznie większą skalę infekcji - nieoficjalnie mówi się o około milionie komputerów.

Warto jednak zauważyć, że atak tak naprawdę był wymierzony w konkretną grupę komputerów. W zainfekowanym oprogramowaniu odnaleziono listę zakodowanych 600 adresów MAC, które miały być poddawane kolejnej infekcji (niestety nie wiadomo jaki miała ona cel). Co prawda badacze rozszyfrowali listę adresów, ale tożsamość ich właścicieli pozostaje nieznana.

Wybrani producenci stanowią niezwykle atrakcyjne cele dla ugrupowań cyberprzestępczych, które mogą chcieć wykorzystać ich ogromną bazę klientów. Na razie nie wiadomo, jaki był ostateczny cel atakujących. Nadal również badamy, kto stoi za tym atakiem. Techniki wykorzystywane do nieautoryzowanego wykonania kodu, jak również inne wykryte ślady sugerują, że ShadowHammer może mieć koneksje z grupą z BARIUM APT, która wcześniej była powiązana między innymi z incydentami ShadowPad oraz CCleaner. Nowa kampania to kolejny przykład tego, jak wyrafinowany i niebezpieczny może być dzisiaj inteligentny atak na łańcuch dostaw - powiedział Witalij Kamliuk, dyrektor Globalnego Zespołu ds. Badan i Analiz (GReAT) w regionie Azji i Pacyfiku, Kaspersky Lab.

Przestępcy podpisali zmodyfikowane oprogramowanie prawidłowym certyfikatem producenta

Niestety, atak nie stawa firmy ASUS w dobrym świetle. Producent miał dowiedzieć się o infekcji plików pod koniec stycznia, ale nie poinformował o tym swoich klientów. Aktualnie na serwerach znajdują się już bezpieczne wersje oprogramowania. Jeżeli więc używacie narzędzia ASUS Live Update Utility, zalecamy jego jak najszybszą aktualizację.

Kaspersky nadal bada sprawę zainfekowanego oprogramowania, a kolejne szczegóły ma ujawnić 8 kwietnia na konferencji SAS 2019 w Singapurze. Warto jednak podkreślić, że wszystkie pakiety Kaspersky Lab wykrywają i blokują zmodyfikowane pliki. Producent udostępnił specjalne narzędzie, przy pomocy którego użytkownicy mogą sprawdzić, czy ich urządzenie stanowiło cel tego ataku. Pozwala na to również specjalnie uruchomiona strona internetowa.

Aktualizacja 26.03.2019 18:20

Firma ASUS wydała oficjalne oświadczenie, w którym potwierdziła zainfekowanie oprogramowania ASUS Live Update (inne oprogramowanie nie zostało zmodyfikowane). Atak miał być ukierunkowany na bardzo małą i określoną grupę użytkowników. Producent dotarł do poszkodowanych i zapewnił pomoc w celu usunięcia zagrożenia.

W najnowszej wersji oprogramowania (3.6.8) wprowadzono wiele mechanizmów weryfikacji bezpieczeństwa, aby zapobiec wszelkim manipulacjom oprogramowania, a także zaimplementowano ulepszony mechanizm szyfrowania end-to-end. Jednocześnie zaktualizowano i wzmocniono mechanizm server-to-end-user udostępniania plików użytkownikom, aby zapobiec podobnym przypadkom w przyszłości.

Producent udostępnił również narzędzie do sprawdzenia potencjalnego zagrożenia - zainteresowani mogą pobrać je tutaj.

Źródło: Kaspersky Lab, Zaufana Trzecia Strona