L’attacco minaccia centinaia di migliaia di utenti in tutto il mondo prendendo di mira ASUS Live Update Utility come fonte primaria dell’infezione

Operazione ShadowHammer - Asus ExpertBook

Come dimostrato da casi come ShadowPad o CCleaner, l’attacco alla supply chain è uno dei vettori d’infezione più pericolosi ed efficaci, sempre più sfruttato nel corso degli ultimi anni. Si tratta di un attacco che prende di mira alcune debolezze specifiche all’interno dei sistemi interconnessi delle risorse – umane, organizzative, materiali e intellettuali – coinvolte nel ciclo di vita di alcuni prodotti: dalla fase iniziale dello sviluppo fino all’utente finale. L’infrastruttura di un vendor può essere sicura, ma potrebbero esserci delle vulnerabilità nelle strutture dei fornitori, che potrebbero, a loro volta, compromettere la supply chain, portando ad una devastante quanto inaspettata violazione dei dati. È il caso dell’operazione ShadowHammer, che ha preso di mira ASUS Live Update Utility come fonte primaria dell’infezione.

C’è una utility pre-installata nella maggior parte dei computer ASUS, per gli aggiornamenti automatici dei driver BIOS, UEFI e delle applicazioni. Utilizzando certificati digitali rubati, che erano stati impiegati da ASUS per siglare codici binari legittimi, gli attaccanti hanno manomesso versioni precedenti del software ASUS, inserendovi il loro codice malevolo. Le versioni dell’utility, modificate con il trojan, sono state firmate con certificati legittimi e sono state distribuite tramite i server ufficiali di aggiornamento di Asus – il che le ha rese non rilevabili da parte della maggioranza delle soluzioni di sicurezza.

Data la tipologia di attacco il malware avrebbe potuto infettare tutti gli utilizzatori della utility, ma gli autori della minaccia dietro ShadowHammer hanno preferito concentrarsi su alcune centinaia di utenti, sui quali evidentemente avevano già diverse informazioni raccolte in precedenza. I ricercatori hanno scoperto che ogni variante della backdoor conteneva una tabella con un elenco di indirizzi MAC codificati – l’identificavo unico delle schede di rete utilizzate per connettere il computer. Una volta eseguita sul dispositivo di una vittima, la backdoor procedeva con la verifica dell’indirizzo MAC rispetto a questa tabella. Se l’indirizzo MAC corrispondeva a una delle voci presenti, il malware procedeva con il download dello step successivo del codice malevolo. In caso contrario, il programma di aggiornamento “infiltrato” non mostrava alcuna attività in rete: per questo motivo non è stato scoperto per un lungo periodo di tempo.

In totale, gli esperti di cybersicurezza sono riusciti a identificare più di 600 indirizzi MAC, presi di mira da più di 200 campioni unici di backdoor aventi shellcode differenti.

L’approccio modulare e le precauzioni supplementari prese nel corso dell’esecuzione del codice, per prevenire perdite accidentali del codice stesso o di dati, indicano che per gli autori di questo attacco così sofisticato era molto importante passare inosservati mentre colpivano alcuni obiettivi specifici, con una precisione che potrebbe essere definita come chirurgica. Un’analisi più approfondita ha mostrato che l’arsenale degli attaccanti è avanzato e che il livello di sviluppo all’interno del gruppo è davvero molto alto.

La ricerca di malware simili ha rivelato la presenza di software di tre altri vendor in Asia, tutti con backdoor installate con metodi e tecniche molto simili. Il problema è stato segnalato ad Asus e agli altri vendor.

“I vendor selezionati sono un obiettivo estremamente allettante per i gruppi che portano avanti attacchi ATP, dal momento che possono trarre vantaggi da una grande quantità di clienti. Non è ancora molto chiaro quale fosse l’obiettivo finale di questi attaccanti e stiamo ancora cercando di capire chi si cela davvero dietro questa operazione. In ogni caso, le tecniche impiegate per ottenere l’esecuzione non autorizzata del codice, così come altri indizi scoperti, suggeriscono che ShadowHammer possa essere probabilmente collegato con il gruppo di autori di minacce APT BARIUM, in precedenza legato agli incidenti relativi a ShadowPad e CCleaner, fra gli altri. Questa nuova campagna è l’ennesimo esempio di quanto un attacco alla supply chain possa essere sofisticato e pericoloso oggi se condotto con una certa abilità”, ha commentato Vitaly Kamluk, Director of Global Research and Analysis Team, APAC, presso Kaspersky Lab.

Per non diventare vittima di un attacco mirato da parte di autori di minacce conosciuti o sconosciuti, i ricercatori raccomandano di:

  • Implementare una soluzione di sicurezza a livello aziendale che rilevi tempestivamente le cyberminacce avanzate a livello di rete, da affiancare ad un’indispensabile protezione degli endpoint.
  • Per il rilevamento, l’analisi e la messa in atto di una strategia di remediation tempestiva a livello endpoint, si consiglia di adottare soluzioni EDR o di contattare un team professionale di Incident Response.
  • Integrare i feed per la Threat Intelligence nel SIEM e altri controlli di sicurezza, in modo da avere accesso ai dati più interessanti e aggiornati sulle cyberminacce ed essere pronti a fronteggiare possibili attacchi futuri.