Operațiunea ShadowHammer - Noi atacuri asupra lanțului de aprovizionare amenință sute de mii de utilizatori din toată lumea
Un atac asupra lanțului de aprovizionare este unul dintre cei mai periculoși și mai eficienți vectori de infecție, folosit din ce în ce mai mult în operațiunile avansate din ultimii ani - după cum s-a văzut în cazul ShadowPad sau CCleaner. Vizează deficiențele specifice ale sistemelor interconectate ale resurselor umane, organizaționale, materiale și intelectuale implicate în ciclul de viață al produsului: de la etapa de dezvoltare inițială, până la utilizatorul final. Chiar dacă infrastructura unui producător este sigură, ar putea exista vulnerabilități la furnizorii săi, care sabotează lanțul de aprovizionare, ceea ce ar duce la o neașteptată și periculoasă breșă de date.
Atacatorii din spatele ShadowHammer au vizat utilitarul ASUS Live Update ca sursă inițială de infecție. Acesta este un utilitar preinstalat în majoritatea noilor calculatoare ASUS, pentru actualizări automate de BIOS, UEFI, drivere și aplicații. Utilizând certificate digitale furate, folosite de ASUS pentru a semna binarele legitime, atacatorii au modificat versiunile mai vechi ale software-ului ASUS, injectând codul periculos. Versiunile cu troieni ale utilitarului au fost semnate cu certificate legitime și au fost găzduite și distribuite de serverele legitime de actualizare ASUS - ceea ce le-a făcut practic invizibile pentru marea majoritate a soluțiilor de protecție.
Deși acest lucru înseamnă că, teoretic, fiecare utilizator al software-ului afectat ar fi putut deveni o victimă, autorii ShadowHammer s-au concentrat pe accesul la mai multe sute de utilizatori, despre care aveau cunoștințe anterioare. După cum au descoperit cercetătorii Kaspersky Lab, fiecare cod backdoor conținea un tabel de adrese MAC hardcoded - identificatorul unic al adaptoarelor de rețea, folosit pentru conectarea unui computer la o rețea.
Odată ce rula pe dispozitivul victimei, backdoor-ul își verifica adresa MAC în acest tabel. Dacă adresa MAC corespundea uneia dintre intrări, malware-ul descărca următoarea etapă a codului infectat. În caz contrar, updater-ul infiltrat nu afișa nicio activitate de rețea, motiv pentru care a rămas nedescoperit atâta vreme. În total, experții în securitate au putut identifica mai mult de 600 de adrese MAC. Acestea au fost vizate de peste 230 de eșantioane unice cu backdoor, având diferite shellcodes.
Abordarea modulară și măsurile de precauție suplimentare luate atunci când codul este executat, pentru a preveni scurgerea accidentală de cod sau de date, indică faptul că a fost foarte important pentru autorii acestui atac complex să rămână nedetectați, în timp ce lovesc ținte bine definite, cu precizie chirurgicală. Analiza tehnică arată că arsenalul atacatorilor este foarte avansat și reflectă un nivel foarte ridicat de dezvoltare în cadrul grupului.
Căutarea de malware similar a scos la iveală software-ul de la alți trei furnizori din Asia, toți folosind metode și tehnici foarte asemănătoare. Kaspersky Lab a raportat problema către Asus și alți furnizori.
„Companiile selectate sunt ținte extrem de atractive pentru grupurile APT care ar dori să profite de vasta lor bază de clienți”, spune Vitaly Kamluk, Director of Global Research and Analysis Team, APAC, Kaspersky Lab. „Nu este încă foarte clar care a fost obiectivul final al atacatorilor și încă cercetăm cine a fost în spatele atacului”.
Cu toate acestea, tehnicile folosite pentru executarea codului neautorizat, precum și alte artefacte descoperite sugerează că ShadowHammer are probabil legătură cu BARIUM APT, care anterior a fost asociat cu incidentele ShadowPad și CCleaner, printre altele. Această nouă campanie reprezintă încă un exemplu privind complexitatea și gradul de periculozitate al unui atac inteligent asupra lanțului de aprovizionare, în prezent.”

România și trenurile internaționale - O istorie de 130 de ani, de la trenurile ce parcurgeau peste 3.000 de km până la rutele mult mai scurte din prezent
Walker, Texas Ranger, se întoarce! / Vești bune pentru fanii Indiana Jones / Noi dovezi despre formarea găurilor negre supermasive
VIDEO Rusia, o viață în exil: Copiii Gulagului se luptă de 30 de ani pentru a reveni acasă
Sorin Cîmpeanu, invitat în studioul HotNews.ro de la ora 18,00. Realizator - Mona Hera
VIDEOINTERVIU/ Beneficiile pe care le pot acorda firmele angajaților anul acesta, dacă au posibilitatea, explicate de Cristian Rapcencu. De la cei 400 lei din telemuncă, la decontarea concediilor și cei 1.500 lei pentru creșă sau gradiniță/ Cum se poate deduce întregul cost cu casele de marcat