ShadowHammer: aggiornamenti dannosi per i portatili ASUS

25 Mar 2019

Grazie a una nuova tecnologia presente nei nostri prodotti in grado di individuare gli attacchi alle supply chain, i nostri esperti hanno scoperto quello che sembra essere uno degli incidenti più importanti che abbiano mai coinvolto la supply chain (ricordate CCleaner? Di portata ancora maggiore). Una minaccia è riuscita a modificare la Live Update Utility di ASUS, che consegna gli aggiornamenti BIOS, UEFI e dei software ai portatili e computer ASUS, aggiungendo una backdoor all’utility per poi distribuirla agli utenti mediante i canali ufficiali.

L’utility infetta è stata firmata con un certificato legittimo e si trovava sul server ufficiale ASUS dedicato agli aggiornamenti, il che ha reso possibile che passasse inosservata a lungo. I cybercriminali, inoltre, si sono accertati che le dimensioni del file dell’utility dannosa corrispondessero a quelli dell’utility originale.

Secondo i dati a nostra disposizione, oltre 57 mila utenti dei prodotti di Kaspersky Lab hanno installato l’utility contenente la backdoor, ma calcoliamo che un milione di persone in totale potrebbero essere coinvolte. In ogni caso, i cybercriminali non hanno interesse per tutti gli utenti, di fatto hanno colpito solo 600 indirizzi MAC specifici, per i quali gli hash erano presenti in hard-code nelle diverse versioni dell’utility.

Durante le nostre indagini riguardo l’attacco, ci siamo resi conto che le stesse tecniche sono state utilizzate sui software di tre altre case produttrici. Naturalmente, abbiamo già avvisato ASUS e le altre compagnie dell’attacco. Fino ad ora, tutte le soluzioni Kaspersky Lab hanno individuato e bloccato le utility infette, ma in ogni caso vi consigliamo di aggiornare la Live Update Utility di ASUS nel caso ne facciate uso. Le nostre indagini sono ancora in corso.

Se volete avere maggiori informazioni su uno degli attacchi alla supply chain più grandi fino a ora registrati, per conoscere i dettagli tecnici, visionare gli IOC, capire chi sono gli obiettivi o ricevere consigli su come proteggervi dagli attacchi alla supply chain di questo tipo, vi consigliamo di partecipare al prossimo SAS 2019, l’importante conferenza sulla sicurezza che avrà luogo a Singapore a partire dall’8 aprile. Uno degli interventi sarà dedicato proprio all’APT ShadowHammer e verranno proposti dei dettagli molto interessanti. I biglietti ancora disponibili sono ormai pochi, vi consigliamo di affrettarvi.

In alternativa, potete leggere il nostro report completo (in lingua inglese) su securelist.com, che sarà disponibile in concomitanza con l’intervento del SAS. Non perdetevi questo evento!