W poprzednim poście opisującym działanie ugrupowania ShadowHammer obiecaliśmy napisać za jakiś czas więcej informacji na jego temat. Chociaż analiza incydentu nadal trwa, nasi badacze są gotowi podzielić się nowymi informacjami dotyczącymi tego wyrafinowanego ataku na łańcuch dostaw.
Skala działania
Jak wspomnieliśmy wcześniej, ASUS to nie jedyna firma wykorzystana przez atakujących. Badając wspomniany przypadek, nasi eksperci natknęli się na inne próbki wykorzystujące podobne algorytmy. Podobnie jak w przypadku firmy ASUS, próbki te wykorzystywały podpisane cyfrowo pliki binarne od trzech innych producentów z Azji:
- Electronics Extreme — autora gry survivalowej o nazwie Infestation: Survivor Stories,
- Innovative Extremist — dostarczającego usługi infrastruktury webowej i IT, ale także wykorzystywanej podczas tworzenia gier,
- Zepetto — autora gry Point Blank z Korei Południowej.
Według naszych badaczy atakujący uzyskali dostęp do kodu źródłowego projektów ofiar lub zdołali wstrzyknąć szkodliwe oprogramowanie podczas kompilacji projektu, co oznacza, że znajdowali się w sieciach atakowanych firm. Przypomina nam to atak, o którym pisaliśmy rok temu, a dokładniej incydent z programem CCleaner.
Ponadto nasi eksperci zidentyfikowali trzy kolejne ofiary: kolejną firmę produkującą gry wideo, konglomeratowe przedsiębiorstwo holdingowe oraz firmę farmaceutyczną. Wszystkie zlokalizowane były w Korei Południowej. Na tę chwilę nie możemy podać więcej informacji na ten temat, ponieważ nadal przekazujemy im informacje na temat ataku.
Ostateczne cele
W przypadku firm Electronics Extreme, Innovative Extremist i Zepetto zhakowany program umieścił w systemach ofiar stosunkowo prosty ładunek. Mógł on gromadzić informacje na temat systemu, w tym nazw użytkowników, danych technicznych komputerów i wersji systemu operacyjnego. Ponadto mógł być wykorzystywany do pobierania szkodliwej zawartości z serwerów kontroli, zatem odmiennie niż w przypadku firmy ASUS — lista potencjalnych ofiar nie ogranicza się do listy adresów MAC.
Ponadto wspomniana lista zawierająca ponad 600 adresów MAC nie oznaczała, że ofiar było 600 (ponad) — co najmniej jeden z nich należy do wirtualnej karty sieciowej Ethernet. Wszyscy użytkownicy tego urządzenia korzystają z tego samego adresu MAC.
Więcej szczegółowych informacji znajduje się w tym poście w serwisie Securelist.
Jak nie stać się ogniwem w ataku na łańcuch dostaw
Wspomniane wyżej przypadki łączy to, że atakujący uzyskali ważne certyfikaty i zhakowali środowiska programistyczne swoich ofiar. Dlatego nasi eksperci zalecają producentom oprogramowania wdrożenie kolejnego etapu, który dodatkowo sprawdzi gotowy program pod kątem potencjalnego wstrzyknięcia szkodliwego kodu, gdy zostanie już podpisany cyfrowo.
Aby zapewnić sobie odpowiednią ochronę przed podobnymi atakami, należy skorzystać z pomocy doświadczonych łowców zagrożeń — na przykład naszych. Dzięki usłudze Targeted Attack Discovery nasi eksperci potrafią zidentyfikować aktualną aktywność cyberprzestępczą i cyberszpiegowską w sieci firmowej. Ponadto pomogą zrozumieć przyczyny i możliwe źródła takich incydentów. Dodatkowo możemy zaoferować Kaspersky Managed Protection — całodobowe monitorowanie i nieustanne analizowanie cyberzagrożeń. Aby dowiedzieć się więcej na temat naszego wykrywania zaawansowanych zagrożeń i analiz ekspertów, odwiedź stronę Kaspersky Threat Hunting.