Z badania wynika, że cyberprzestępcy stojący za operacją ShadowHammer wzięli na celownik użytkowników narzędzia ASUS Live Update Utility, wstrzykując do niego trojana w okresie przynajmniej od czerwca do listopada 2018 r. Eksperci z Kaspersky Lab szacują, że z zagrożeniem mogło się zetknąć ponad milion użytkowników na całym świecie.
Atak na łańcuch dostaw to jeden z najniebezpieczniejszych i najskuteczniejszych wektorów infekcji, coraz częściej wykorzystywany w zaawansowanych operacjach przestępczych na przestrzeni ostatnich kilku lat. Wykorzystuje on konkretne słabe punkty we wzajemnie połączonych systemach zasobów ludzkich, organizacyjnych, materiałowych oraz intelektualnych biorących udział w cyklu życia produktu: od wstępnego etapu rozwoju po użytkownika końcowego. Mimo zabezpieczeń infrastruktury producenta, luki mogą występować w systemach jego dostawców, sabotując łańcuch dostaw i prowadząc do destrukcyjnego i nieoczekiwanego naruszenia bezpieczeństwa danych.
Osoby stojące za kampanią ShadowHammer zaatakowały narzędzie ASUS Live Update Utility jako pierwotne źródło infekcji. Jest to narzędzie wstępnie zainstalowane w większości nowych komputerów firmy ASUS, służące do automatycznej aktualizacji systemu BIOS, UEFI, sterowników oraz aplikacji. Przy użyciu skradzionych certyfikatów cyfrowych wykorzystywanych przez firmę ASUS do podpisywania autentycznych plików binarnych atakujący ingerowali w starsze wersje tego oprogramowania, umieszczając w nim własny szkodliwy kod. Wersje narzędzia zawierające trojana zostały podpisane przy pomocy autentycznych certyfikatów i były rozsyłane z oficjalnych serwerów aktualizacji firmy ASUS – przez co były niewidoczne dla ogromnej większości rozwiązań zabezpieczających.
Chociaż oznacza to, że ofiarą mógł stać się potencjalnie każdy użytkownik zainfekowanego oprogramowania, osoby stojące za kampanią ShadowHammer skupiły się na uzyskaniu dostępu do maszyn kilkuset użytkowników, o których wcześniej coś wiedzieli. Badacze z Kaspersky Lab wykryli, że każdy kod trojana zawierał tablicę zakodowanych na sztywno adresów MAC, które stanowią unikatowy identyfikator kart sieciowych wykorzystywanych do łączenia komputera z siecią. Po uruchomieniu się na urządzeniu ofiary szkodnik sprawdzał, czy jego adres MAC znajduje się w takiej tabeli. Jeśli adres odpowiadał jednemu z wpisów, trojan pobierał kolejną część szkodliwego kodu. Eksperci ds. bezpieczeństwa zdołali zidentyfikować w sumie ponad 600 adresów MAC ofiar. Zostały one zaatakowane przy użyciu ponad 230 unikatowych próbek zawierających trojana.
Zastosowanie podejścia modułowego oraz dodatkowych środków bezpieczeństwa podczas wykonywania szkodliwych modułów, które miały zapobiec przypadkowemu wyciekowi kodu lub danych, wskazują, że osoby stojące za tym wyrafinowanym zagrożeniem dokładały wszelkich starań, by pozostać niewykryte, atakując z chirurgiczną precyzją ściśle określone cele. Szczegółowa analiza techniczna wykazała, że arsenał tych cyberprzestępców jest bardzo zaawansowany i świadczy o wysokim poziomie rozwoju ugrupowania ShadowHammer.
Poszukiwanie podobnego zagrożenia doprowadziło do oprogramowania trzech innych producentów z Azji — do wszystkich wstrzyknięto szkodliwy kod przy użyciu bardzo podobnych metod i technik. Kaspersky Lab zgłosił sprawę firmie ASUS oraz innym producentom.
Wybrani producenci stanowią niezwykle atrakcyjne cele dla ugrupowań cyberprzestępczych, które mogą chcieć wykorzystać ich ogromną bazę klientów. Na razie nie wiadomo, jaki był ostateczny cel atakujących. Nadal również badamy, kto stoi za tym atakiem. Techniki wykorzystywane do nieautoryzowanego wykonania kodu, jak również inne wykryte ślady sugerują, że ShadowHammer może mieć koneksje z grupą z BARIUM APT, która wcześniej była powiązana między innymi z incydentami ShadowPad oraz CCleaner. Nowa kampania to kolejny przykład tego, jak wyrafinowany i niebezpieczny może być dzisiaj inteligentny atak na łańcuch dostaw – powiedział Witalij Kamliuk, dyrektor Globalnego Zespołu ds. Badan i Analiz (GReAT) w regionie Azji i Pacyfiku, Kaspersky Lab.
Wszystkie produkty Kaspersky Lab skutecznie wykrywają i blokują szkodliwe oprogramowanie wykorzystywane w operacji ShadowHammer.
Aby nie paść ofiarą ataku ukierunkowanego znanego lub nieznanego cyberugrupowania, badacze z Kaspersky Lab zalecają podjęcie następujących środków bezpieczeństwa:
- Oprócz niezbędnej ochrony punktów końcowych stosuj rozwiązanie zabezpieczające klasy enterprise, takie jak Kaspersky Anti Targeted Attack Platform, które wykrywa zaawansowane zagrożenia na poziomie sieci na wczesnym etapie.
- W celu zapewnienia wykrywania na poziomie punktu końcowego, badania i niezwłocznego naprawiania szkód stosuj rozwiązania EDR, takie jak Kaspersky Endpoint Detection and Response, lub skontaktuj się z profesjonalnym zespołem ds. reagowania na incydenty.
- Zintegruj źródła danych o zagrożeniach ze swoim systemem zarządzania informacjami i zdarzeniami dot. bezpieczeństwa (SIEM) oraz innymi systemami kontroli bezpieczeństwa w celu uzyskania dostępu do najbardziej istotnych i aktualnych danych o zagrożeniach oraz przygotowania się na dalsze ataki.
Kaspersky Lab udostępnił specjalne narzędzie, przy pomocy którego użytkownicy mogą sprawdzić, czy ich urządzenie stanowiło cel tego ataku. Pozwala na to również specjalnie uruchomiona strona internetowa.
Więcej informacji na temat ataków ugrupowania ShadowHammer znajduje się na stronie https://r.kaspersky.pl/HREvi.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.