Per almeno cinque mesi, da giugno a novembre del 2018, la società tecnologica Asus ha rilasciato a sua insaputa una backdoor - codice malevolo che consente l’accesso dall’esterno a un attaccante - nei computer di migliaia di clienti, attraverso il sistema di aggiornamento automatico dei propri prodotti. La scoperta è stata fatta dai ricercatori Kaspersky, che hanno individuato due server di Asus, ai quali probabilmente degli hacker hanno avuto accesso, sfruttando il canale ufficiale per diffondere l’attacco.
Supply chain, ovvero la filiera di distribuzione: è qui che gli hacker sono riusciti a infiltrarsi per distribuire il malware Shadow Hammer, come riportato inizialmente da Motherboard. I pirati informatici hanno preso il controllo di due dei server di Asus destinati a distribuire il software Live Update, sostituendolo con una versione modificata e contenente i codici necessari all’attacco.
La diffusione è avvenuta indisturbata per mesi in quanto questo veniva accompagnato da certificati ufficiali dell’azienda, e quindi era considerato “affidabile” dai sistemi di controllo e dai software antivirus.
Una volta installato su uno dei dispositivi della lista, il malware è programmato per creare una connessione a un server remoto, dal quale gli hacker possono eseguire arbitrariamente altri codici e prendere il controllo del dispositivo infetto. Il collegamento permette anche agli attaccanti di servirsene per installare ulteriori software malevoli nella macchina colpita.
Secondo le stime di Kaspersky, oltre un milione di dispositivi con installato un sistema operativo Windows hanno ricevuto l’aggiornamento. Tuttavia, sembra che l’attacco fosse mirato contro dei dispositivi specifici, in quanto la backdoor era istruita per attivarsi solo su dei sistemi identificati in base a una lista di MAC address (Media Access Control, codice univoco assegnato dai produttori a ciascuna scheda di rete). Questa particolarità suggerisce che dietro l’attacco possa celarsi un’iniziativa di spionaggio mirata all’acquisizione di informazioni da utenti già attenzionati.
“L'obiettivo dell'attacco era di colpire chirurgicamente un gruppo di utenti sconosciuti, identificati dagli indirizzi MAC dei loro adattatori di rete - spiega Kaspersky -. Per raggiungere questo obiettivo, gli aggressori avevano inserito una lista di indirizzi MAC nei campioni trojanizzati e questa lista è stata utilizzata per identificare gli obiettivi reali di questa massiccia operazione. Siamo stati in grado di estrarre più di 600 indirizzi MAC unici da oltre 200 campioni utilizzati in questo attacco. Naturalmente, ci potrebbero essere altri campioni con diversi indirizzi MAC nella loro lista”.
This is definitely a big incident anticipated in our 2019 threat predictions. In support for ASUS,I have to admit they agreed to meet us and cooperated just days before one of the biggest holidays in Asia (Lunar New Year), quickly provided us with their release packages to check. https://t.co/6ZVTV9RfGm
— Vitaly Kamluk (@vkamluk) March 25, 2019
“Sebbene al momento non sia possibile attribuire precisamente l’evento, alcune indizi che abbiamo raccolto ci permettono di collegare questo attacco all’attacco Shadow Pad del 2017”, scrive Kaspersky. Il riferimento è al team noto con il nome di Barium, gruppo di hacker cinesi probabilmente sostenuti nelle loro azioni dal governo di Pechino. “Recentemente, i nostri colleghi dell’Eset hanno riportato un altro attacco di filiera in cui era coinvolto anche Barium, che riteniamo sia collegato anche a questo caso”.
Kaspersky ha creato una piattaforma sulla quale gli utenti Asus possono inserire il proprio indirizzo Mac, in modo da verificare se questo fosse incluso o meno nella lista di bersagli di Shadow Hammer. Al momento comunque è necessario attendere che Asus rilasci ulteriori aggiornamenti in modo da correggere le falle riscontrate e mettere in sicurezza i dispositivi colpiti.