В ASUS Live Update был внедрён бэкдор
Антивирусная компания «Лаборатория Касперского» сообщила об обнаружении новой целевой атаки на цепочку поставок. Исследование компании выявило, что мишенями злоумышленников ShadowHammer были пользователи ASUS Live Update – утилиты для обновления драйверов в режиме онлайн. В период с июня по ноябрь 2018 года атакующие внедрили в это ПО бэкдор, который, по оценкам экспертов «Лаборатории Касперского», поставил под угрозу безопасность более миллиона пользователей по всему миру.
Атаки на цепочку поставок – один из наиболее опасных и эффективных векторов заражения, который в последнее время всё чаще используется при целевых атаках. Известные примеры – ShadowPad и CCleaner. В подобных случаях злоумышленники стремятся обнаружить уязвимости во взаимосвязанных системах, участвующих в жизненном цикле продукта, от этапа его разработки до момента поступления к пользователю. Атакующие ищут слабые места в человеческих, организационных, материальных и интеллектуальных ресурсах, необходимых для создания и реализации продукта или услуги. Сам вендор при этом может быть полностью защищён, но уязвимость в инфраструктуре его поставщика может нанести урон всей цепочке поставок, что способно привести к серьёзной утечке данных.
Создатели ShadowHammer использовали ASUS Live Update как первоначальный источник заражения. Эта утилита предустанавливается на большинстве новых компьютеров ASUS с целью автоматического обновления системного ПО (включая BIOS, UEFI, приложения и драйверы). Атакующие внедряли вредоносный код в модифицированные старые версии ПО ASUS, используя украденные цифровые сертификаты, которые применялись ASUS для подписывания легитимных бинарных файлов. После чего утилиты с встроенными троянцами подписывались легитимными сертификатами и распространялись с официальных серверов обновлений ASUS, что делало их практически невидимыми для абсолютного большинства защитных решений.
Хотя это и означает, что потенциально каждый пользователь такого ПО мог стать жертвой атаки, реальной целью создателей ShadowHammer было всего несколько сотен конкретных устройств. Как обнаружили исследователи «Лаборатории Касперского», код каждого бэкдора содержал таблицу со списком определённых MAC-адресов, то есть уникальных идентификационных кодов, которые присваиваются сетевым картам, чтобы компьютер мог подсоединяться к сети. После запуска на устройстве жертвы зловред проверял, входит ли этот MAC-адрес в список. Если данное условие выполнялось, то загружался следующий модуль вредоносного кода. В противном случае эта утилита не проявляла никакой дополнительной сетевой активности, и именно поэтому атака так долго оставалась необнаруженной. В общей сложности исследователи смогли идентифицировать свыше 600 MAC-адресов в этом списке. Они стали целью для более чем 230 уникальных образцов вредоносного ПО, у каждого из которых был различный шелл-код.
При исполнении вредоносного кода применялся модульный подход и были предприняты дополнительные меры предосторожности, чтобы предотвратить случайную утечку кода или данных. Это указывает на то, что злоумышленникам было очень важно оставаться незамеченными, атаки же на определённые цели они проводили с хирургической точностью. Глубокий технический анализ показывает, что арсенал ShadowHammer очень продвинут и подразумевает крайне высокий уровень разработки в группе.
Поиск схожего вредоносного ПО выявил, что в программном обеспечении ещё трёх вендоров в Азиатском регионе были обнаружены бэкдоры, которые использовали похожие методы и техники. «Лаборатория Касперского» сообщила ASUS и другим компаниям об обнаруженной проблеме.
