Odborníci společnosti Kaspersky Lab odhalili novou pokročilou trvalou hrozbu (APT), která může mít za oběť velké množství uživatelů. Bezpečnostní tým zjistil, že útočníci odpovědní za operaci ShadowHammer cílí na uživatele Asus Live Update Utility.
Mezi červnem a listopadem 2018 se hackerům podařilo do systému softwarových aktualizací dostat tzv. zadní vrátka. Kaspersky Lab odhaduje, že se tento útok mohl dotknout více než milionu uživatelů po celém světě.
Kybernetická společnost uvádí, že útoky na dodavatelský řetězec jsou jedním z nejnebezpečnějších a nejefektivnějších způsobů infekce. Tento typ útoku se zaměřuje na konkrétní slabiny v propojených systémech životního cyklu produktu.
Útočníci tak mohou daný systém napadnout v jakoukoli chvíli od počáteční fáze vývoje produktu až po jeho doručení k zákazníkovi. Může se tak stát, že i když má prodejce svoji infrastrukturu dobře zabezpečenou, vyskytnou se zranitelnosti u jeho dodavatelů a ty ohrozí celý dodavatelský řetězec.
Cíl: Systém softwarových aktualizací
Kaspersky Lab informuje, útočníci odpovědní za ShadowHammer si za počáteční bod své infekce vybrali systém softwarových aktualizací Asus Live Update Ability, který se nachází ve většině počítačů značky Asus.
Díky ukradeným oficiálním digitálním certifikátům, kterými Asus podepisoval své sestavy, manipulovali útočníci podle kybernetické společnosti se staršími verzemi softwaru tohoto prodejce, do kterých vpravili škodlivý kód.
Ačkoliv se obětí tohoto útoku mohli stát všichni uživatelé dotčených softwarů, hackeři stojící za útočnou operací ShadowHammer se zaměřili pouze na několik stovek z nich, o kterých už měli nějaké informace.
Odborníci z Kaspersky Lab zjistili, že kód každého backdooru obsahoval tabulku s ručně vepsanými MAC adresami. Po svém spuštění na napadeném zařízení backdoor ověřil svou MAC adresu s touto tabulkou. Pokud se MAC adresa s jednou z uvedených shodovala, stáhnul malware další část škodlivého kódu.
V opačném případě infiltrovaná aktualizace neprovedla žádnou síťovou aktivitu, což je také důvod, proč zůstal tento útok dlouho neobjeven. Celkem identifikovali odborníci více než 600 MAC adres, které byly napadeny více než 230 unikátními backdoory.
Zdroj: Kaspersky Lab
