Специалисты «Лаборатории Касперского» рассказали о вредоносной кампании, получившей название «Операция ShadowHammer». Произошедшее можно описать как классическую атаку на цепочку поставок: около полугода назад злоумышленники скомпрометировали компанию Asus, сумели закрепиться в сети и принялись раздавать бэкдоры через предустановленный на устройства Asus инструмент для автоматического обновления ASUS Live Update. Он используется для обновления BIOS, UEFI, драйверов и приложений. Вредоносные версии были размещены на liveupdate01s.asus[.]com и liveupdate01.asus[.]com.

По данным исследователей, атака имела место между июнем и ноябрем 2018 года (то есть хакеры контролировали ASUS Live Update около полугода), и затронула множество владельцев устройств Asus.

За это время ASUS Live Update с бэкдором загрузили и установили на свои машины более 57 000 пользователей продуктов «Лаборатории Касперского». И хотя оценить весь масштаб произошедшего весьма сложно (эксперты полагались только на достоверные данные, полученные от пользователей продуктов «Лаборатории Касперского»), аналитики считают, что в общей сложности из-за случившегося пострадали более миллиона человек по всему миру.

По данным исследователей, больше всего жертв вредоносного ASUS Live Updater проживают в России, Германии и Франции. Однако нужно помнить о том, что эти цифры  учитывают лишь пользователей продуктов «Лаборатории Касперского», а глобальная статистика может существенно отличаться.

Интересно, что при таком большом размахе атаки изначальной целью злоумышленников был сравнительно небольшой пул пользователей: их «опознавали» по MAC-адресам сетевых адаптеров. Для этого использовался захордкоженный список MAC-адресов, с которым сверялась малварь. Изучив около 200 вредоносных образцов, экспертам удалось обнаружить более 600 таких MAC-адресов, хэши которых были зашиты в различные версии утилиты. Изучить малварь второй стадии, которая загружалась на устройства из этого списка, экспертам пока не удалось из-за малого числа пострадавших.

Впрочем, в ряде случаев с MAC-адресами могла выйти промашка. Виталий Камлюк, директор Азиатско-Тихоокеанского региона по глобальным исследованиям и анализу «Лаборатории Касперского», пишет в Twitter, что в списках малвари числились и стандартные MAc-адреса для VMware VMNet8 (00:50:56:C0:00:08) и Huawei E3772 USB 4G (0C:5B:8F:27:9A:64).

Не менее интересен и тот факт, что зараженные версии апдейтера были подписаны двумя действительными сертификатами ASUSTeK Computer Inc. Один из них истек в середине 2018 года, и тогда атакующие переключились на второй, который до сих пор не был отозван.

«Лаборатория Касперского» уведомила Asus о происходящем еще в конце января 2019 года, предоставив компании все необходимые индикаторы компрометации и описание малвари. Издание Vice Motherboard, со ссылкой на уже упомянутого выше Виталия Камлюка, сообщает, что в январе представители Asus отрицали тот факт, что их сервер скомпрометирован, невзирая на очевидные тому доказательства. В феврале 2019 года представители «Лаборатории Касперского» и Asus провели личную встречу, но после этого Asus практически перестала отвечать экспертам и до сих пор не уведомила о случившемся своих пользователей.

Также стоит отметить, что выводы «Лаборатории Касперского» уже подтвердили их коллеги из Symantec, сообщив, что наблюдают как минимум 13 000 пострадавших среди пользователей своих продуктов.

ИБ-эксперты уже создали специальную утилиту, которая позволяет проверить, не стало ли ваше устройство целью злоумышленников: этот инструмент сравнивает MAC-адреса с упомянутым списком. Также можно воспользоваться онлайн-версией.

Кроме того, отмечается, что случившееся во многом похоже на другие известные атаки на цепочку поставок. В частности, исследователи упоминают известный инцидент 2017 года, связанный с малварью ShadowPad. Тогда было скомпрометировано популярное приложение CCleaner, использующееся для оптимизации и «чистки» ОС семейства Windows. Позже аналитики Microsoft связали вредоноса ShadowPad с APT-группировкой BARIUM, также известной благодаря использованию бэкдора Winnti. Всего две недели назад эксперты ESET рассказывали о другой вредоносной кампании этой группы, в ходе которой были атакованы азиатские игровые компании.

Детальный технический отчет о случившемся специалисты «Лаборатории Касперского» планируют обнародовать на конференции SAS 2019, что стартует 8 апреля 2019 года в Сингапуре.

Иллюстрации: «Лаборатория Касперского»

3 комментария

  1. Аватар

    Yoker En#Code

    26.03.2019 at 10:52

    Счастье, что у меня Тошиба, и то с линуксом

    • Аватар

      ak545

      27.03.2019 at 01:19

      Счастье, что твой Тошиба до сих пор не сгорел 😉
      —————
      Спустя восемь месяцев после начала широкомасштабной программы по отзыву дефектных батарей для ноутбуков, Toshiba вновь сообщает о новом зарегистрированном случае воспламенения ее ноутбука. Напомним, что начавшийся восемь месяцев назад отзыв батарей стал одним из крупнейших в истории индустрии отзывом, под который попали более 8 млн литий-ионный батарей производства Sony для ноутбуков. Все 8 млн дефектных батарей подвержены опасности короткого замыкания, в следствии чего возможно возгорание самого ноутбука.

      Как сообщила Toshiba, последний подобный случай возгорания ее ноутбука из-за установленной в нем дефектной батареи Sony произошел 24 мая. О каких-либо повреждениях, полученных пользователем, проигнорировавшим призыв Sony восьмимесячной давности обменять батареи, не сообщается. Пользуясь случаем, Toshiba в очередной раз напоминает, что все дефектные батареи Sony в ее ноутбуках могут совершенно бесплатно быть заменены на новые. Как ранее сообщала японская компания, подобные батареи могут быть установлены в таких брэндовых моделях как Portege, Qosmio, Satellite и Tecra.
      —————
      Новость уже устарела, но вдруг у тебя какая то древность.
      Кроме того, уязвимости большей частью подвержены не сами железки (за редким, но очень метким исключением, о котором будет ниже), а программное обеспечение под управлением которых они функционируют.
      Linux — не исключение.
      И вот — самое главное.

      Счастливый ты мой, а какой у тебя на Тошибе ЦПУ стоит?
      От уязвимости типа Meltdown/Spectre, эксплуатирующей спекулятивное исполнение команд ЦПУ он защищён?

      🙂

      • Аватар

        Vitaly

        27.03.2019 at 11:32

        по мере возможности (От уязвимости типа Meltdown/Spectre, эксплуатирующей спекулятивное исполнение команд ЦПУ он защищён?)

Оставить мнение