La Live Update Utility di Asus, utilizzata per distribuire gli aggiornamenti di sistema e del BIOS ai computer del colosso taiwanese, è stata compromessa dai criminal hacker e sfruttata per distribuire una pericolosa backdoor su migliaia di macchine vulnerabili sfruttando i canali ufficiali.
A segnalare quello che sembra essere uno degli incidenti più gravi che abbiano mai coinvolto la supply chain sono stati i ricercatori di sicurezza di Kaspersky Lab. A quanto pare, i criminal hacker sono riusciti ad avere accesso ad alcuni server utilizzati per il normale funzionamento del tool di aggiornamento live dell’azienda (liveupdate01s.asus[.]com e liveupdate01.asus[.]com) e, mediante un’azione malevola di hijacking, hanno inserito un file dannoso tra gli update software ufficiali di Asus, camuffandolo da autentico mediante un certificato digitale legittimo.
Asus sarebbe stata avvisata di quanto stava accadendo già a gennaio scorso, ma a quanto dicono i ricercatori Kaspersky l’attacco, soprannominato Operazione ShadowHammer, ha avuto luogo tra giugno e novembre 2018. Ora, in seguito alla segnalazione dei ricercatori Kaspersky, il produttore taiwanese ha rilasciato l’aggiornamento del suo tool (versione 3.6.8) che corregge la vulnerabilità introdotta dall’attacco e implementa anche diversi meccanismi di sicurezza utili a prevenire altre future manipolazioni non autorizzate di questo software. È importante procedere il prima possibile all’aggiornamento, soprattutto se le macchine vengono usate in ambito aziendale.
Secondo Vitaly Kamluk, Director of Global Research and Analysis Team, APAC, presso Kaspersky Lab: “I vendor selezionati sono un obiettivo estremamente allettante per i gruppi che portano avanti attacchi ATP (Advanced Persistent Threat), dal momento che possono trarre vantaggi da una grande quantità di clienti. Non è ancora molto chiaro quale fosse l’obiettivo finale di questi attaccanti e stiamo ancora cercando di capire chi si cela davvero dietro questa operazione. In ogni caso, le tecniche impiegate per ottenere l’esecuzione non autorizzata del codice, così come altri indizi scoperti, suggeriscono che ShadowHammer possa essere probabilmente collegato con il gruppo di autori di minacce APT BARIUM, in precedenza legato agli incidenti relativi a ShadowPad e CCleaner, fra gli altri. Questa nuova campagna è l’ennesimo esempio di quanto un attacco alla supply chain possa essere sofisticato e pericoloso oggi se condotto con una certa abilità”.
Indice degli argomenti
Dettagli tecnici dell’Operazione ShadowHammer
Si stima che circa un milione di macchine Windows, dislocate principalmente in Russia, Francia, Germania, Italia, Stati Uniti, Spagna, Polonia, Regno Unito, Canada e Giappone, ha ricevuto la backdoor dannosa attraverso il server di aggiornamento Asus, ma dalle prime analisi sembra che i criminal hacker abbiamo concentrato le loro attenzioni soltanto su circa 600 indirizzi MAC specifici (per l’esattezza 583, così come indicato nella lista fornita da Shahar Zini, CTO dell’azienda di sicurezza australiana Skylight), il che farebbe pensare ad un attacco mirato compiuto sfruttando una campagna massiva di diffusione del malware.
Dopo aver compromesso la macchina target, individuata appunto mediante una lista di indirizzi MAC in possesso dei criminal hacker, la backdoor ha attivato un server C2 di comando e controllo gestito dagli aggressori stessi per scaricare altri malware sui sistemi infetti.
Su tutte le altre macchine con un indirizzo MAC diverso da quelli compromessi dai criminal hacker, la backdoor rimane inattiva e potrebbe essere utilizzata in futuro per compiere altri pericolosi attacchi su larga scala.
ShadowHammer: i consigli degli esperti per difendersi
“Non è la prima volta che viene attaccato con successo un sistema di “distribuzione del software”, sia esso un sistema di gestione degli aggiornamenti o il vero e proprio repository di un software”, è il commento di Alessio Pennasilico, Information & Cyber Security Advisor presso P4I – Partners4Innovation. “In passato è già successo ad organizzazioni che gestiscono software proprietario, open source ed anche software “di security”. Purtroppo questo genere di attacchi è molto efficace poiché, compromettendo una sola infrastruttura, si massimizza il numero delle vittime, soprattutto se il servizio/software è molto diffuso e noto”.
“Questo genere di incidenti”, continua Pennasilico, “ci ricorda una volta di più la responsabilità sociale di ogni azienda connessa ad Internet nel garantire la propria sicurezza, al fine di impedire di diventare vettore di attacco a sua volta. Per quel che riguarda certe categorie di fornitori, non solo tecnologici, questa responsabilità risulta ancora più evidente visti i possibili impatti di un attacco di successo”.
“Proteggersi da questa categoria di attacchi è particolarmente complesso, se non impossibile, tanto per l’utente finale quanto per organizzazioni complesse. Continuiamo a sottolineare l’importanza di applicare gli aggiornamenti, ma in casi come questo è l’aggiornamento stesso il rischio che si vorrebbe prevenire, con scarse possibilità per la vittima finale di poter fare detection della minaccia”.
In attesa di avere ulteriori dettagli sull’attacco ShadowHammer, è importante verificare se i nostri computer Asus sono vulnerabili o meno.
I ricercatori Kaspersky hanno realizzato un sito Web per confrontare se l’indirizzo MAC della macchina compare nella lista di quelli compromessi già individuati nei campioni della backdoor isolati dai ricercatori Kaspersky.
Innanzitutto, individuiamo il MAC Address della nostra macchina. Per farlo, avviamo il Prompt dei comandi: se abbiamo Windows 10 (ma la procedura è analoga su tutte le versioni del sistema operativo) è sufficiente digitare cmd.exe nella barra delle applicazioni e premere Invio. Nella schermata che appare, digitiamo il comando ipconfig /all e premiamo nuovamente Invio. Quindi, prendiamo nota del valore indicato in corrispondenza della voce Indirizzo fisico, sia per la scheda Ethernet sia per la scheda Wi-Fi.
Colleghiamoci ora al sito Web realizzato dai ricercatori Kaspersky, digitiamo il nostro MAC Address nel campo Your MAC address e clicchiamo su CHECH NOW.
Per non diventare vittima di un attacco mirato da parte di autori di minacce conosciuti o sconosciuti, come nel caso dell’Operazione ShadowHammer, è utile seguire anche alcune utili raccomandazioni suggerite dai ricercatori kaspersky:
- implementare una soluzione di sicurezza a livello aziendale che rilevi tempestivamente le cyber minacce avanzate a livello di rete, da affiancare ad un’indispensabile protezione degli endpoint;
- per il rilevamento, l’analisi e la messa in atto di una strategia di remediation tempestiva a livello endpoint, si consiglia di adottare soluzioni EDR (Endpoint Detection and Response) o di contattare un team professionale di Incident Response;
- integrare i feed per la Threat Intelligence nel SIEM (Security Information and Event Management) e altri controlli di sicurezza, in modo da avere accesso ai dati più interessanti e aggiornati sulle cyber minacce ed essere pronti a fronteggiare possibili attacchi futuri.
