Kaspersky Lab, azienda specializzata in sicurezza informatica, ha condiviso le sue ultime scoperte riguardanti operazione Shadowhammer, un attacco informatico che ha sfruttato delle debolezze nella catena di approvvigionamento di ASUS per infettare specificatamente i suoi computer. Scopriamo quindi insieme i dettagli di questa campagna e come difendersi e prevenire attacchi futuri.
I dettagli di Operazione Shadowhammer
Come in passato, con ShadowPad o CCleaner, questo attacco ha preso di mira la supply chain di ASUS. Se infatti l’infrastruttura del produttore può essere sicura e protetta, è possibile che non sia così per uno dei fornitori di componenti, compromettendo l’azienda stessa.
In questo specifico caso, ad essere stata infettato è il software ASUS Live Update Utility, pre-installato sulla maggior parte dei computer ASUS e necessario per aggiornamenti dei driver BIOS, UEFI e delle applicazioni. Gli hacker hanno utilizzato certificati digitali rubati per firmare in maniera legittima il software, inserendovi un trojan, e distribuirlo attraverso i server ufficiali di aggiornamento dell’azienda.
I criminali avrebbero potuto infettare, a questo punto, tutti gli utilizzatori dell’utility, grazie alla backdoor creata dal virus, ma ciò non è avvenuto: ad essere stati effettivamente attaccati sono stati solo alcune centinaia di utenti, a cui gli hacker erano evidentemente interessati. Il software malevolo conteneva infatti un elenco di circa 600 indirizzi MAC, ovvero quei codici identificativi legati alle schede di rete dei computer. Una volta nel computer, la backdoor confrontava il MAC address della macchina con quelli nella lista, scaricando il resto del software malevolo solo in caso di match.
Questa estrema selettività, nonostante la possibilità di attaccare volendo anche decine di migliaia di macchine, indica, da parte degli hacker, un’estrema cautela, e una necessità di rimanere inosservati quanto più a lungo possibile, attaccando nel frattempo i loro obiettivi di interesse.
Le soluzioni di Kaspersky Lab
“I vendor selezionati sono un obiettivo estremamente allettante per i gruppi che portano avanti attacchi ATP, dal momento che possono trarre vantaggi da una grande quantità di clienti. Non è ancora molto chiaro quale fosse l’obiettivo finale di questi attaccanti e stiamo ancora cercando di capire chi si cela davvero dietro questa operazione.” ha dichiarato Vitaly Kamluk, Director of Global Research and Analysis Team, APAC, presso Kaspersky Lab.
Continua: “In ogni caso, le tecniche impiegate per ottenere l’esecuzione non autorizzata del codice, così come altri indizi scoperti, suggeriscono che ShadowHammer possa essere probabilmente collegato con il gruppo di autori di minacce APT BARIUM, in precedenza legato agli incidenti relativi a ShadowPad e CCleaner, fra gli altri. Questa nuova campagna è l’ennesimo esempio di quanto un attacco alla supply chain possa essere sofisticato e pericoloso oggi se condotto con una certa abilità”
La ricerca di malware simili ha intanto rivelato la presenza di software analogo anche in altri tre vendor asiatici, oltre ad ASUS. L’azienda condividerà tutte le sue scoperte in occasione del Security Analyst Summit 2019 (9-11 aprile, Singapore).
Nel frattempo, Kaspersky Lab e le sue soluzioni sono ormai in grado di rivelare e bloccare i virus di questo tipo, e ha condiviso tre consigli per quelle aziende e utenti che volessero proteggersi da un attacco del genere:
- Implementare una soluzione di sicurezza a livello aziendale in grado di rivelare tempestivamente le minacce avanzate a livello di rete (come Kaspersky Anti Targeted Attack Platform), da affiancare alla protezione degli endpoint.
- Adottare soluzioni EDR (come Kaspersky Endpoint Detection and Response) per il rilevamento, l’analisi e la messa in atto di una strategia di remediation tempestiva a livello di endpoint.
- Integrare i feed per la Threat Intelligence nel SIEM e altri controlli di sicurezza, in modo da avere accesso ai dati più interessanti e aggiornati sulle cyberminacce ed essere pronti ad fronteggiare possibili attacchi futuri.
Se poi avete dubbi sulla sicurezza del vostro computer, la compagnia ha messo a disposizione un tool per verificare se il proprio MAC address è stato compromesso o meno. Maggior informazioni sui prodotti e i servizi di Kaspersky Lab disponibili sul sito ufficiale.
[amazon_link asins=’B07GXPC42K,B016LPIKS6,B078XXGHP7′ template=’ProductCarousel’ store=’gamspri02-21′ marketplace=’IT’ link_id=’641303ee-2a1e-4a79-8c96-4653fa3a2bae’]