Con un aggiornamento rilasciato nelle ultime ore, Asus ha riparato il software utilizzato da degli hacker per ottenere l’accesso a “oltre un milione di dispositivi” prodotti dall’azienda taiwanese. A individuare il malware, a gennaio, erano stati gli esperti di Kaspersky, che avevano scoperto come dei criminali fossero riusciti a introdursi nei sistemi che rilasciano il software ufficiale del produttore di computer, sostituendolo con una versione da loro modificata.
In un comunicato inviato dall’azienda si apprende che “il servizio clienti Asus ha contattato gli utenti interessati e fornito assistenza al fine di eliminare qualunque rischio di sicurezza”. Inoltre, il colosso taiwanese ha messo a disposizione uno “strumento diagnostico di sicurezza online per verificare i dispositivi interessati e incoraggia gli utenti a eseguirlo in modo precauzionale”.
Quanti utenti sono stati colpiti
In un articolo sul suo blog, Kaspersky aveva precisato che gli utenti che utilizzano l’antivirus russo e che si sono ritrovati la versione corrotta dell’Asus Live Update sono più di 57 mila. L’azienda statunitense Symantec ha confermato a Motherboard la scoperta, specificando che da una prima analisi risulterebbero colpiti anche almeno 13 mila dei suoi clienti.
Contattata da Agi, Asus sembra invece smentire queste cifre. Alla domanda se confermasse la stima “di un milione di dispositivi infetti”, l’azienda ha risposto: “Dopo indagini e verifiche portate avanti da consulenti di sicurezza indipendenti, possiamo affermare che il numero di utenti interessati è attualmente di poche centinaia. La maggior parte degli utenti consumer non fa parte degli attacchi target del gruppo Apt”.
Secure your ASUS PC devices now! Download the latest version of Live Update tool to make sure your device is protected from any malicious programs. #cybersecurity #ASUS #ASUSLaptops https://t.co/h728NY6hb0 pic.twitter.com/tcqNdMx0db
— ASUS (@ASUS) March 26, 2019
Un attacco di Stato
Centinaia di migliaia di computer infetti, per colpire meno di mille soggetti. Secondo quanto scoperto da Kaspersky, il malware era stato progettato per attivarsi solo su specifici dispositivi, indicati da una lista di codici identificativi delle schede di rete (MAC address). Ma per arrivare ai bersagli prescelti, gli hacker hanno dovuto distribuire il malware su larga scala: obiettivo raggiunto facilmente una volta che sono riusciti a legittimare il virus con certificati ufficiali di Asus. Ed è così che il rilascio del codice malevolo è passato inosservato per almeno cinque mesi, da giugno a novembre del 2018.
Questo fatto suggerisce che gli attaccanti sapessero già quali bersagli colpire e che questi utilizzavano notebook prodotti dall’azienda taiwanese. Tale circostanza ha permesso di ipotizzare che si sia trattato di un Advanced persistent Threat (Apt, minaccia avanzata persistente), ovvero di un attacco condotto da squadre d’assalto cibernetico, spesso finanziate da entità statali o parastatali per compiere operazioni di spionaggio mirate.
L’ipotesi sembra confermata dalla stessa azienda, che in una nota scrive che gli Apt “sono degli attacchi lanciati da gruppi di hacker che portano il medesimo nome, colpiscono a livello nazionale e nella maggior parte dei casi arrivano da alcuni Paesi specifici. Gli attacchi hanno come primario obiettivo utenti quali organizzazioni o entità internazionali anziché i consumatori”. A una richiesta di precisazioni, l’azienda non chiarisce esplicitamente se si sia trattato di un’operazione di spionaggio. Tuttavia, in una mail inviata ad Agi, precisa che l’attacco era “rivolto a pochi e selezionati utenti istituzionali”.
Ma qualche informazione in più la fornisce l’analisi degli esperti di Kaspersky. L’azienda ha infatti constatato che questo attacco - ribattezzato ShadowHammer - “assomiglia o addirittura sorpassa in complessità e tecnica” due precedenti episodi: ShadowPad e l’incidente di CCleaner. Entrambi scoperti nell’estate del 2017, i due attacchi non furono mai ufficialmente attribuiti, anche se in ShadowPad alcuni indizi suggerivano che dietro vi fossero degli hacker cinesi.
Asus fa sapere che, oltre all’aggiornamento del software Live Update (alla versione 3.6.8), ha anche “introdotto diversi meccanismi di verifica della sicurezza per impedire qualsiasi manipolazione dannosa sotto forma di aggiornamenti software o altri mezzi e implementato un meccanismo di crittografia end-to-end”, (dall’inglese, terminale-a-terminale) con riferimento alla cifratura delle comunicazioni tra due dispositivi. “Allo stesso tempo - si legge nel comunicato -, l’azienda ha anche aggiornato e rafforzato la propria architettura software server-to-end-user per prevenire attacchi simili in futuro”.
Non è chiaro a cosa l’azienda si riferisca quando parla di crittografia end-to-end, né tra quali dispositivi sarebbe stata implementata. A tal proposito, l’azienda risponde che non intende rilasciare ulteriori dettagli tecnici.
Nella mail inviata ad Agi, Asus scrive: “Quando siamo stati contattati da Kaspersky, ci siamo messi immediatamente al lavoro con diversi consulenti per la sicurezza. Insieme al loro supporto professionale abbiamo unito la nostra expertise ed esperienza nel campo dell’assistenza hardware e del software per stabilire i passi successivi e proteggere eventuali informazioni sensibili dei nostri clienti”. Tuttavia, Kaspersky ha dichiarato di aver informato Asus il 31 gennaio del 2019. Come risulta invece dal sito del Dipartimento di sicurezza interna americano, il rilascio dell’aggiornamento ad Asus Live Update è avvenuto solo il 26 marzo, a quasi due mesi dalla scoperta della falla.
Attacchi di filiera
Supply-chain, ovvero la filiera di distribuzione: è qui che gli hacker sono riusciti a infiltrarsi, distribuendo per mesi il malware sui dispositivi Asus. I criminali informatici hanno potuto agire indisturbati in quanto, avendo preso possesso di due server del produttore di computer e dei relativi certificati di autenticità, nessun antivirus sarebbe stato in grado di identificarne la natura malevola.
“Questa vicenda ci mostra ancora una volta che la filiera di distribuzione è un bersaglio centrale per gli attaccanti più esperti”, ha spiegato ad Agi Craig Williams, esperto di sicurezza informatica e capo di Talos, unità avanzata di Cisco specializzata nel contrasto alle minacce cibernetiche e nella cyber-intelligence. “Una volta che si sono intrusi (nei sistemi, ndr) di un singolo produttore, gli attaccanti possono compromettere un’incalcolabile quantità di utenti. Ecco perché la filiera di produzione è un bersaglio così ambito”. Tuttavia, nessun produttore è invulnerabile, precisa Williams, ma “la segmentazione (della filiera, ndr), la difesa in profondità e la possibilità di ispezionarla sono la chiave”.