В марте текущего года специалисты «Лаборатории Касперского» рассказали, что компания Asus стала жертвой вредоносной кампании ShadowHammer. Неизвестные злоумышленники скомпрометировали производителя и раздавали бэкдоры через предустановленный на устройства Asus инструмент для автоматического обновления ASUS Live Update.

Оригинальная версия ASUS Live Updater (сверху) и зараженная (снизу)

Эксперты предупреждали, атака имела место между июнем и ноябрем 2018 года (то есть хакеры контролировали ASUS Live Update около полугода) и суммарно могла затонуть более миллиона устройств по всему миру. Впрочем, представители Asus заявили, что атака была не такой уж масштабной, и пострадало небольшое количество пользователей (точных цифр в компании не назвали, но сообщили, что пострадавшие – владельцы ноутбуков).

Теперь, по завершении конференции SAS 2019, аналитики «Лаборатории Касперского» опубликовали детальный отчет об атаках ShadowHammer, где раскрыли технические детали случившегося, а также сообщили, что Asus – не единственная жертва этой вредоносной кампании.

Подтвердилась информация о том, что случившееся во многом похоже на другие известные атаки на цепочку поставок. В частности, исследователи упоминают известные инциденты, связанные с малварью ShadowPad. К примеру, в 2017 году было скомпрометировано популярное приложение CCleaner, использующееся для оптимизации и «чистки» ОС семейства Windows.

Позже аналитики Microsoft связали вредоноса ShadowPad с APT-группировкой BARIUM, также известной благодаря использованию бэкдора Winnti. В марте текущего года эксперты ESET рассказывали о другой вредоносной кампании этой группы, в ходе которой были атакованы азиатские игровые компании.

Эксперты «Лаборатории Касперского» обнаружили и другие образцы, которые работали по схожим алгоритмам и нашли еще три компании в Азии, чьи бинарники были подписаны похожим образом. Это таиландская компания Electronics Extreme Company Limited, выпустившая игру Infestation: Survivor Stories. Компания Innovative Extremist, в настоящее время занимающаяся предоставлением ИТ- и веб-услуг, а ранее числившаяся партнером Electronics Extreme Company Limited и имевшая отношение к выпуску игр. А также южнокорейская фирма Zepetto Co, разработавшая игру PointBlank, чьи файлы также были заражены бэкдорами. В данных случаях злоумышленники либо имели доступ к исходному коду проектов компаний-жертв, либо внедрили вредоносный код на этапе компиляции проектов, что означает, что у них был доступ к сетям этих компаний.

Исследователи поясняют, что эти данные имеют прямое отношение к уже упомянутому расследованию ESET, просто аналитики ESET предпочли не раскрывать названия всех пострадавших компаний, а «Лаборатории Касперского» удалось получить новые детали инцидентов.

Так, отчет гласит, что в случае атак на азиатских игроделов, вредоносный пейлоад собирает информацию о зараженной системе (в частности имена пользователей, спецификации оборудования и версии операционных систем), а затем загружает с удаленного сервера дополнительную полезную нагрузку. Интересно, что если основным языком в зараженной системе был китайский или русский, малварь автоматически прекращала работу. Если же атаке ничто не препятствовало, бэкдор мог использоваться для загрузки и выполнения файлов, а также запуска shellcode. В отличие от эпизода с ASUS, список потенциальных жертв уже не ограничивался каким-либо набором MAC-адресов.

Помимо этого специалисты «Лаборатории Касперского» утверждают, что сумели обнаружить трех новых жертв ShadowPad. Названия этих фирм пока не называются, но известно, что все они базируются в Южной Корее, одна компания занимается разработкой игр, вторая представляет собой крупный холдинг, а третья занимается фармацевтикой. Эксперты уже уведомили компании о компрометации и работают над изучением этих случаев.

Кроме того, отдельное внимание в отчете уделено бэкдору PlugX — весьма популярному «оружию» китайских хакерских групп. Специалисты отмечают, что в операциях ShadowHammer нередко используются различные алгоритмы, которые можно найти в других образчиках малвари, включая PlugX. Исследователи не связывают ShadowHammer с разработчикам PlugX напрямую, однако пишут, что, скорее всего, злоумышленники уже имели опыт работы с PlugX ранее и использовали его в других атаках. Это позволяет предположить, что за ShadowHammer стоит китайская хак-группа.

Код PlugX 2012 года (слева), код ShadowHammer (справа)

Оставить мнение