През 2017 десетки потребители свалят компрометирана версия на популярния сервизен софтуер за Windows CCleaner в операция, станала известна като Shadowpad. Кампанията е класически пример за т.нар. „атака към линията за доставки“ (supply chain attack), при които вътрешни активи на компанията са компрометирани с цел инфектиране на нейните клиенти и потребители. Подобен тип атаки са трудни за регистриране, поради това, че атакуващата страна използва като начален вектор за своите действия доверена страна.

Вчера компанията за информационна сигурност и защита Kaspersky Lab, алармира за новооткрита подобна атака, а жертвите ѝ могат да са десетки хиляди. ShadowHammer, както е името ѝ, засяга собствениците на компютри на тайванската компания ASUS.

„През януари 2019, ние открихме сложна атака към веригата за доставки, засягаща ASUS Live Update Utility. Атаката се е състояла между юни и ноември 2018 и според нашата телеметрия, тя засяга огромен брой потребители“, уведомяват Kaspersky.

ASUS Live Update Utility е предварително инсталиран инструмент на машини на тайванската компания, която помага за автоматичното обновление на различни компоненти на компютъра, като драйверите, BIOS и приложенията. Броят на засегнатите в Shadowhammer не е лесно да бъде определен, тъй като кампанията явно не цели атака към всички потребители на ASUS. Kaspersky откриват в троянизираните версии на инструмента вграден списък с MAC адреси, които са цел на атакуващата страна. След активацията си, инструментът проверява дали адресът на машината е включен във въпросния списък и ако не е, той не извършва зловредна дейност.

Що се отнася до причините, поради които Shadowhammer остава под радара на компаниите за сигурност, то те се крият в това, че зловредните версии идват подписани с легитимен цифров сертификат и се доставят от официалните сървъри за това на ASUS.

По отношение на приписването на отговорност за атаката, Kaspersky вярват, че вероятно става дума за APT (advanced persistent threat) групировка с името BARIUM, която може да има връзка с атаката към CCleaner.

Kaspersky Lab са изготвили специална страница, на която може да проверите дали адреса на мрежовия адаптер на компютъра ви е в списъка с набелязаните машини, или да използвате подготвения от тях инструмент, създаден със същата цел.

Kaspersky Lab съветват, ако машината ви е станала жертва на атаката, да се свържете на специално изготвен за целта имейл адрес, на който може да ви бъде помогнато.

Допълнено:
ASUS разясни проблема с инструмента ASUS Live Update от групите Advanced Persistent Threat (APT) Вижте дали сте засеганти

3
ДОБАВИ КОМЕНТАР

avatar
2 Коментари
1 Отговори на коментарите
3 Последователи
 
Коментарът с най-много реакции
Най-горещият коментар
3 Автори на коментарите
M Schadd(*)303318 Автори на последните коментари
  Абонирай се  
нови стари оценка
Извести ме за
303318
303318

more than 600 MAC addresses hard coded into the malware.

(*)
(*)

Никога не ползвам автоматични ъпдейти на софтуер, независимо дали е HP, леново и др.
А ако лаптопа е закупен с уиндоус, веднага махам марковия bloatware.

M Schadd
M Schadd

Ти си по кошниците с 16 МВ рам и damn small linux.