Wiadomości

Kaspersky Lab wykrył nową zaawansowaną, długotrwałą kampanię z wykorzystaniem szkodliwego oprogramowania, opierającą się na tzw. atakach na łańcuch dostaw. Z badania wynika, że cyberprzestępcy stojący za operacją ShadowHammer wzięli na celownik użytkowników narzędzia ASUS Live Update Utility, wstrzykując do niego trojana w okresie przynajmniej od czerwca do listopada 2018 r. Eksperci z Kaspersky Lab szacują, że z zagrożeniem mogło się zetknąć ponad milion użytkowników na całym świecie.

Atak na łańcuch dostaw to jeden z najniebezpieczniejszych i najskuteczniejszych wektorów infekcji, coraz częściej wykorzystywany w zaawansowanych operacjach przestępczych na przestrzeni ostatnich kilku lat. Wykorzystuje on konkretne słabe punkty we wzajemnie połączonych systemach zasobów ludzkich, organizacyjnych, materiałowych oraz intelektualnych biorących udział w cyklu życia produktu: od wstępnego etapu rozwoju po użytkownika końcowego. Mimo zabezpieczeń infrastruktury producenta, luki mogą występować w systemach jego dostawców, sabotując łańcuch dostaw i prowadząc do destrukcyjnego i nieoczekiwanego naruszenia bezpieczeństwa danych.

Osoby stojące za kampanią ShadowHammer zaatakowały narzędzie ASUS Live Update Utility jako pierwotne źródło infekcji. Jest to narzędzie wstępnie zainstalowane w większości nowych komputerów firmy ASUS, służące do automatycznej aktualizacji systemu BIOS, UEFI, sterowników oraz aplikacji. Przy użyciu skradzionych certyfikatów cyfrowych wykorzystywanych przez firmę ASUS do podpisywania autentycznych plików binarnych atakujący ingerowali w starsze wersje tego oprogramowania, umieszczając w nim własny szkodliwy kod. Wersje narzędzia zawierające trojana zostały podpisane przy pomocy autentycznych certyfikatów i były rozsyłane z oficjalnych serwerów aktualizacji firmy ASUS - przez co były niewidoczne dla ogromnej większości rozwiązań zabezpieczających.

Chociaż oznacza to, że ofiarą mógł stać się potencjalnie każdy użytkownik zainfekowanego oprogramowania, osoby stojące za kampanią ShadowHammer skupiły się na uzyskaniu dostępu do maszyn kilkuset użytkowników, o których wcześniej coś wiedzieli. Badacze z Kaspersky Lab wykryli, że każdy kod trojana zawierał tablicę zakodowanych na sztywno adresów MAC, które stanowią unikatowy identyfikator kart sieciowych wykorzystywanych do łączenia komputera z siecią. Po uruchomieniu się na urządzeniu ofiary szkodnik sprawdzał, czy jego adres MAC znajduje się w takiej tabeli. Jeśli adres odpowiadał jednemu z wpisów, trojan pobierał kolejną część szkodliwego kodu. Eksperci ds. bezpieczeństwa zdołali zidentyfikować w sumie ponad 600 adresów MAC ofiar. Zostały one zaatakowane przy użyciu ponad 230 unikatowych próbek zawierających trojana.

Zastosowanie podejścia modułowego oraz dodatkowych środków bezpieczeństwa podczas wykonywania szkodliwych modułów, które miały zapobiec przypadkowemu wyciekowi kodu lub danych, wskazują, że osoby stojące za tym wyrafinowanym zagrożeniem dokładały wszelkich starań, by pozostać niewykryte, atakując z chirurgiczną precyzją ściśle określone cele. Szczegółowa analiza techniczna wykazała, że arsenał tych cyberprzestępców jest bardzo zaawansowany i świadczy o wysokim poziomie rozwoju ugrupowania ShadowHammer.

Poszukiwanie podobnego zagrożenia doprowadziło do oprogramowania trzech innych producentów z Azji - do wszystkich wstrzyknięto szkodliwy kod przy użyciu bardzo podobnych metod i technik. Kaspersky Lab zgłosił sprawę firmie ASUS oraz innym producentom.

Wybrani producenci stanowią niezwykle atrakcyjne cele dla ugrupowań cyberprzestępczych, które mogą chcieć wykorzystać ich ogromną bazę klientów. Na razie nie wiadomo, jaki był ostateczny cel atakujących. Nadal również badamy, kto stoi za tym atakiem. Techniki wykorzystywane do nieautoryzowanego wykonania kodu, jak również inne wykryte ślady sugerują, że ShadowHammer może mieć koneksje z grupą z BARIUM APT, która wcześniej była powiązana między innymi z incydentami ShadowPad oraz CCleaner. Nowa kampania to kolejny przykład tego, jak wyrafinowany i niebezpieczny może być dzisiaj inteligentny atak na łańcuch dostaw - powiedział Witalij Kamliuk, dyrektor Globalnego Zespołu ds. Badan i Analiz (GReAT) w regionie Azji i Pacyfiku, Kaspersky Lab.

źródło: Kaspersky Lab