25/03/2019

ShadowHammer: szkodliwe aktualizacje dla laptopów marki ASUS

Biznes Korporacje MŚP

Dzięki nowej technologii zastosowanej w naszych produktach, która potrafi wykrywać ataki łańcucha dostaw, nasi eksperci odkryli coś, co wydaje się być jednym z największych incydentów łańcucha dostaw wszech czasów (pamiętacie sytuację z programem CCleaner? To coś gorszego). Ktoś zmodyfikował narzędzie ASUS Live Update Utility, które dostarcza aktualizacje do systemu BIOS, UEFI i oprogramowania w laptopach i komputerach stacjonarnych marki ASUS, dodając do niego backdoora, a następnie rozesłał go do użytkowników za pośrednictwem oficjalnych kanałów.

Wyposażone w trojana narzędzie zostało podpisane legalnym certyfikatem i zostało umieszczone na oficjalnym serwerze firmy ASUS przeznaczonym dla aktualizacji, dzięki czemu przez długi czas pozostawało w ukryciu. Przestępcy nawet zadbali o to, aby rozmiar pliku szkodliwego narzędzia był taki sam jak oryginalnego pliku.

Według naszych statystyk narzędzie zawierające backdoora zostało zainstalowane u ponad 57 000 użytkowników produktów marki Kaspersky Lab, jednak szacujemy, że ogólnie trafiło ono aż do miliona osób. Stojący za incydentem cyberprzestępcy nie byli zainteresowani wszystkimi ofiarami, lecz na 600 konkretnych adresów MAC, dla których skróty zostały umieszczone w kodzie różnych wersji narzędzi.

W trakcie analizy tego ataku odkryliśmy, że te same techniki były używane w odniesieniu do oprogramowania trzech innych producentów. Oczywiście o ataku poinformowaliśmy firmę ASUS i pozostałe firmy. Mimo że na tę chwilę wszystkie rozwiązania marki Kaspersky Lab wykrywają i blokują narzędzie wyposażone w trojana, użytkownikom sugerujemy zaktualizowanie narzędzia ASUS Live Update Utility, jeśli go używają. Nasze badania w tym zakresie trwają.

Aby uzyskać więcej informacji na temat największego ataku łańcucha dostaw w historii, poznać jego szczegóły techniczne i oznaki włamania, uzyskać więcej informacji na temat ofiar oraz poznać sposoby na zapewnienie sobie bezpieczeństwa przed podobnymi atakami, weź udział w wydarzeniu SAS 2019 — najgorętszej konferencji poświęconej bezpieczeństwu, która odbędzie się 8 kwietnia w Singapurze. Podczas spotkania zostanie zaprezentowane wystąpienie poświęcone grupie Shadow Hammer APT zawierające wiele ciekawych szczegółów.

Pełen raport zostanie również udostępniony w serwisie securelist.com.