Операция ShadowHammer: из-за взлома ASUS Live Update более миллиона устройств заразили бэкдором

Специалисты «Лаборатории Касперского» рассказали о вредоносной кампании, получившей название «Операция ShadowHammer». Произошедшее можно описать как классическую атаку на цепочку поставок: около полугода назад злоумышленники скомпрометировали компанию Asus, сумели закрепиться в сети и принялись раздавать бэкдоры через предустановленный на устройства Asus инструмент для автоматического обновления ASUS Live Update.

Он используется для обновления BIOS, UEFI, драйверов и приложений. Вредоносные версии были размещены на liveupdate01s.asus[.]com и liveupdate01.asus[.]com.

По данным исследователей, атака имела место между июнем и ноябрем 2018 года (то есть хакеры контролировали ASUS Live Update около полугода), и затронула множество владельцев устройств Asus.

За это время ASUS Live Update с бэкдором загрузили и установили на свои машины более 57 000 пользователей продуктов «Лаборатории Касперского». И хотя оценить весь масштаб произошедшего весьма сложно (эксперты полагались только на достоверные данные, полученные от пользователей продуктов «Лаборатории Касперского»), аналитики считают, что в общей сложности из-за случившегося пострадали более миллиона человек по всему миру.

По данным исследователей, больше всего жертв вредоносного ASUS Live Updater проживают в России, Германии и Франции. Однако нужно помнить о том, что эти цифры учитывают лишь пользователей продуктов «Лаборатории Касперского», а глобальная статистика может существенно отличаться.

Интересно, что при таком большом размахе атаки изначальной целью злоумышленников был сравнительно небольшой пул пользователей: их «опознавали» по MAC-адресам сетевых адаптеров. Для этого использовался захордкоженный список MAC-адресов, с которым сверялась малварь. Изучив около 200 вредоносных образцов, экспертам удалось обнаружить более 600 таких MAC-адресов, хэши которых были зашиты в различные версии утилиты. Изучить малварь второй стадии, которая загружалась на устройства из этого списка, экспертам пока не удалось из-за малого числа пострадавших.

Не менее интересен и тот факт, что зараженные версии апдейтера были подписаны двумя действительными сертификатами ASUSTeK Computer Inc. Один из них истек в середине 2018 года, и тогда атакующие переключились на второй, который до сих пор не был отозван.

«Лаборатория Касперского» уведомила Asus о происходящем еще в конце января 2019 года, предоставив компании все необходимые индикаторы компрометации и описание малвари. Издание Vice Motherboard, со ссылкой на Виталия Камлюка, директора Азиатско-Тихоокеанского региона по глобальным исследованиям и анализу «Лаборатории Касперского», сообщает, что в январе представители Asus отрицали тот факт, что их сервер скомпрометирован, невзирая на очевидные тому доказательства. В феврале 2019 года представители «Лаборатории Касперского» и Asus провели личную встречу, но после этого Asus практически перестала отвечать экспертам и до сих пор не уведомила о случившемся своих пользователей.

Также стоит отметить, что выводы «Лаборатории Касперского» уже подтвердили их коллеги из Symantec, сообщив, что наблюдают как минимум 13 000 пострадавших среди пользователей своих продуктов.

ИБ-эксперты уже создали специальную утилиту, которая позволяет проверить, не стало ли ваше устройство целью злоумышленников: этот инструмент сравнивает MAC-адреса с упомянутым списком. Также можно воспользоваться онлайн-версией.

Кроме того, отмечается, что случившееся во многом похоже на другие известные атаки на цепочку поставок. В частности, исследователи упоминают известный инцидент 2017 года, связанный с малварью ShadowPad. Тогда было скомпрометировано популярное приложение CCleaner, использующееся для оптимизации и «чистки» ОС семейства Windows. Позже аналитики Microsoft связали вредоноса ShadowPad с APT-группировкой BARIUM, также известной благодаря использованию бэкдора Winnti. Всего два недели назад эксперты ESET рассказывали о другой вредоносной кампании этой группы, в ходе которой были атакованы азиатские игровые компании.

Детальный технический отчет о случившемся специалисты «Лаборатории Касперского» планируют обнародовать на конференции SAS 2019, что стартует 8 апреля 2019 года в Сингапуре.

Хакер