Пользователи ASUS под атакой
«Лаборатория Касперского» обнаружила, что злоумышленники ShadowHammer атакуют сервис ASUS Live Update для онлайн-обновления драйверов.
Причем, под угрозой более миллиона пользователей по всему миру.
Атаки на цепочку поставок – один из наиболее опасных и эффективных векторов заражения, который используется при целевых атаках. Известные примеры – ShadowPad и CCleaner. В подобных случаях злоумышленники стремятся обнаружить уязвимости во взаимосвязанных системах, участвующих в жизненном цикле продукта, от этапа его разработки до момента поступления к пользователю. Атакующие ищут слабые места в человеческих, организационных, материальных и интеллектуальных ресурсах, необходимых для создания и реализации продукта или услуги. Сам вендор при этом может быть полностью защищен, но уязвимость в инфраструктуре его поставщика может нанести урон всей цепочке поставок, что способно привести к серьёзной утечке данных.
Создатели ShadowHammer использовали ASUS Live Update как первоначальный источник заражения. Эта утилита устанавливается на большинстве новых компьютеров ASUS с целью автоматического обновления системного ПО (включая BIOS, UEFI, приложения и драйверы). Атакующие внедряли вредоносный код в модифицированные старые версии ПО ASUS, используя украденные цифровые сертификаты, которые применялись ASUS для подписывания легитимных бинарных файлов. После чего утилиты с встроенными троянцами подписывались легитимными сертификатами и распространялись с официальных серверов обновлений ASUS, что делало их практически невидимыми для абсолютного большинства защитных решений.
Код каждого бэкдора содержал таблицу со списком определенных MAC-адресов, то есть уникальных идентификационных кодов, которые присваиваются сетевым картам, чтобы компьютер мог подсоединяться к сети. После запуска на устройстве жертвы зловред проверял, входит ли этот MAC-адрес в список. Если данное условие выполнялось, то загружался следующий модуль вредоносного кода. В противном случае эта утилита не проявляла никакой дополнительной сетевой активности, и именно поэтому атака так долго оставалась необнаруженной. В общей сложности исследователи смогли идентифицировать свыше 600 MAC-адресов в этом списке. Они стали целью для более чем 230 уникальных образцов вредоносного ПО, у каждого из которых был различный шелл-код.
Поиск схожего вредоносного ПО выявил, что в программном обеспечении еще трех вендоров в Азиатском регионе были обнаружены бэкдоры, которые использовали похожие методы и техники.
«Выбранные компании являются чрезвычайно привлекательными мишенями для злоумышленников, которые, вероятно, хотят воспользоваться обширной клиентской базой организаций в своих целях. На данный момент мы не знаем, какой была конечная цель этой атаки, также мы всё ещё расследуем, кто за ней стоял. Однако методы, используемые для достижения несанкционированного исполнения кода, а также другие обнаруженные артефакты указывают на то, что ShadowHammer может иметь отношение к целевым атакам BARIUM. Ранее они были связаны с инцидентами CCleaner и ShadowPad. Эта кампания – ещё один пример того, насколько сложной и опасной может быть сегодня атака через цепочку поставок», – подчеркнул Виталий Камлюк, руководитель исследовательского центра «Лаборатории Касперского» в Азиатско-Тихоокеанском регионе.
«Лаборатория Касперского» детектирует и блокирует вредоносное ПО, которое использовалось ShadowHammer.
