Il malware ha preso di mira l’intera supply-chain, e prima si essere scoperto è stato distribuito per almeno 5 anni

Operazione ShadowHammer

Migliaia di computer desktop e portatili di Asus sono stati colpiti, nelle ultime ore, da un imponente attacco informatico, che ha preso di mira la supply-chain fin dalle prime fasi della produzione. Prima di essere scoperto, il malware è stato distribuito per almeno 5 anni.

A seguire il commento a cura di Justin Fier, Director of Cyber Intelligence and Analytics di Darktrace.

Questa nuova campagna di hacking che sfrutta l’hardware ASUS è emblematica della forza e dell’astuzia che caratterizza il mondo del cyber in cui viviamo.

Ha tutti i tratti distintivi di un’operazione informatica ben pianificata; è altamente mirata, ad alta intensità di risorse e quasi impossibile da rilevare.

Chiunque volesse muovere un attacco di questo tipo avrebbe bisogno di un’enorme quantità di risorse per acquisire i certificati autentici di ASUS in modo da penetrare nella sua supply chain. E qui nasce il primo indovinello: chi si nasconde dietro a questa campagna?

Non è esagerato affermare che dietro a questa l’attività potrebbero celarsi Stati nazionali con un’ampia strategia di cyber attacco o organizzazioni internazionali concatenate volte alla criminalità informatica.

Ma forse, ancora più allarmante, è la natura altamente mirata di questo attacco; è qui che dovremmo concentrare la nostra attenzione. Gli aggressori hanno preso di mira solo 600 macchine in tutto il mondo. È solo questione di tempo, presto scopriremo che in realtà questi obiettivi, le macchine o le persone, hanno un filo unico che le collega tra loro.

In questo momento, il problema che tutte le aziende che utilizzano l’hardware ASUS dovrebbero porsi è identificare se una delle loro macchine è tra gli obiettivi colpiti. E oltre a questo, tutte le organizzazioni devono rendersi conto che ASUS è solo una singola azienda. Avverranno attacchi Copycat anche contro Dell e Apple?

Rubare certificati autentici e utilizzarli per firmare un codice maligno dimostra ancora una volta la necessità di allargare l’applicazione delle tecnologie IA sofisticate, in grado di identificare anche le più piccole anomalie che indicano una minaccia. Un comportamento di questo tipo, infatti, appare così simile a quello normale che solo l’intelligenza artificiale potrebbe comprendere la differenza tra normale e malevolo. Dovendo combattere sempre più attacchi sofisticati come questo, gli approcci tradizionali risulteranno inefficaci praticamente da un giorno all’altro, mentre la cyber IA traccerà la via da seguire verso il futuro.

LA RISPOSTA DI ASUS

ASUS rilascia una dichiarazione riguardo all’attacco al tool ASUS Live Update da parte delle organizzazioni hacker di tipo Advanced Persistent Threat (APT)

ASUS Live Update è uno strumento proprietario fornito con i notebook ASUS per garantire che il sistema possa beneficiare sempre dei driver e firmware più recenti. Una quantità limitata di dispositivi è stata impattata con un codice maligno attraverso un attacco sofisticato sui server di Live Update, nel tentativo di colpire un gruppo di utenti molto piccolo e specifico. Il servizio clienti ASUS ha contattato gli utenti interessati e fornito assistenza al fine di eliminare qualunque rischio di sicurezza.

ASUS ha anche implementato una correzione nell’ultima versione (versione 3.6.8) del software Live Update, introdotto diversi meccanismi di verifica della sicurezza per impedire qualsiasi manipolazione dannosa sotto forma di aggiornamenti software o altri mezzi e implementato un meccanismo di crittografia end-to-end. Allo stesso tempo, l’azienda ha anche aggiornato e rafforzato la propria architettura software server-to-end-user per prevenire attacchi simili in futuro.

ASUS ha creato uno strumento diagnostico di sicurezza online per verificare i dispositivi interessati e incoraggia gli utenti a eseguirlo in modo precauzionale. Lo strumento è disponibile qui: https://dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip