Nowy atak na łańcuch dostaw zagrożeniem dla setek tysięcy użytkowników sieci na świecie

25-03-2019, 21:57

Wykryto zaawansowaną długotrwałą kampanię z wykorzystaniem szkodliwego oprogramowania, opierającą się na tzw. atakach na łańcuch dostaw. Z badania przeprowadzonego przez ekspertów wynika, że cyberprzestępcy stojący za operacją ShadowHammer wzięli na celownik użytkowników narzędzia ASUS Live Update Utility.

Atak na łańcuch dostaw to jeden z najbardziej niebezpiecznych i najskuteczniejszych wektorów infekcji, coraz częściej stosowany w zaawansowanych operacjach przestępczych na przestrzeni ostatnich kilku lat. Wykorzystuje on konkretne słabe punkty we wzajemnie połączonych systemach zasobów ludzkich, organizacyjnych, materiałowych oraz intelektualnych, biorących udział w cyklu życia produktu: od wstępnego etapu rozwoju po użytkownika końcowego. Mimo zabezpieczeń infrastruktury producenta, luki mogą występować w systemach jego dostawców, sabotując łańcuch dostaw i prowadząc do destrukcyjnego i nieoczekiwanego naruszenia bezpieczeństwa danych.     

Osoby stojące za kampanią ShadowHammer zaatakowały narzędzie ASUS Live Update Utility. Jest to narzędzie wstępnie zainstalowane w większości nowych komputerów firmy ASUS, służące do automatycznej aktualizacji systemu BIOS, UEFI, sterowników oraz aplikacji. Przy użyciu skradzionych certyfikatów cyfrowych wykorzystywanych przez firmę do podpisywania autentycznych plików binarnych atakujący ingerowali w starsze wersje oprogramowania, umieszczając w nim własny szkodliwy kod. Wersje narzędzia zawierające trojana zostały podpisane przy pomocy autentycznych certyfikatów i były rozsyłane z oficjalnych serwerów aktualizacji firmy ASUS – przez co były niewidoczne dla ogromnej większości rozwiązań zabezpieczających.           

Chociaż oznacza to, że ofiarą mógł stać się potencjalnie każdy użytkownik zainfekowanego oprogramowania, osoby stojące za kampanią ShadowHammer skupiły się na uzyskaniu dostępu do maszyn kilkuset użytkowników, o których wcześniej coś wiedzieli. Badacze z Kaspersky Lab wykryli, że każdy kod trojana zawierał tablicę zakodowanych na sztywno adresów MAC, które stanowią unikatowy identyfikator kart sieciowych wykorzystywanych do łączenia komputera z siecią. Po uruchomieniu się na urządzeniu ofiary szkodnik sprawdzał, czy jego adres MAC znajduje się w takiej tabeli. Jeśli adres odpowiadał jednemu z wpisów, trojan pobierał kolejną część szkodliwego kodu. Eksperci ds. bezpieczeństwa zdołali zidentyfikować w sumie ponad 600 adresów MAC ofiar. Zostały one zaatakowane przy użyciu ponad 230 unikatowych próbek zawierających trojana.           

Zastosowanie podejścia modułowego oraz dodatkowych środków bezpieczeństwa podczas wykonywania szkodliwych modułów, które miały zapobiec przypadkowemu wyciekowi kodu lub danych, wskazują, że osoby stojące za tym wyrafinowanym zagrożeniem dołożyły starań, aby pozostać niewykryte, atakując z precyzją ściśle określone cele. Szczegółowa analiza techniczna wykazała, że arsenał cyberprzestępców jest bardzo zaawansowany i świadczy o wysokim poziomie rozwoju ugrupowania ShadowHammer.  

Poszukiwanie podobnego zagrożenia doprowadziło do oprogramowania trzech innych producentów z Azji — do wszystkich wstrzyknięto szkodliwy kod przy użyciu bardzo podobnych metod i technik. Kaspersky Lab zgłosił sprawę firmie ASUS oraz innym producentom.     

Witalij Kamliuk, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT) w regionie Azji i Pacyfiku, Kaspersky Lab,informuje, że na razie nie wiadomo, jaki był ostateczny cel atakujących. Techniki wykorzystywane do nieautoryzowanego wykonania kodu, jak również inne wykryte ślady sugerują, że ShadowHammer może mieć koneksje z grupą z BARIUM APT, która wcześniej wiązano między innymi z incydentami ShadowPad oraz CCleaner.

Źródło: Kaspersky Lab


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie



RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Kwiecień 2019»
PoWtŚrCzwPtSbNd
1234567
891011121314
15161718192021
22232425262728
2930