Operazione ShadowHammer”, il nuovo attacco alla supply chain

Kaspersky Lab ha scoperto una nuova campagna APT (Advanced Persistent Threat) che ha colpito una grande quantità di utenti attraverso ciò che viene definito come un attacco alla supply chain

L’attacco alla supply chain è uno dei vettori d’infezione più pericolosi ed efficaci, sempre più sfruttato in operazioni di minacce avanzate nel corso degli ultimi anni – come si è visto in casi come ShadowPad o CCleaner. Questo tipo di attacco prende di mira alcune debolezze specifiche all’interno dei sistemi interconnessi delle risorse – umane, organizzative, materiali e intellettuali – coinvolte nel ciclo di vita di alcuni prodotti: dalla fase iniziale dello sviluppo fino all’utente finale. L’infrastruttura di un vendor può essere sicura, ma potrebbero esserci delle vulnerabilità nelle strutture dei fornitori, che potrebbero, a loro volta, compromettere la supply chain, portando ad una devastante quanto inaspettata violazione dei dati.

Gli autori che si celano dietro l’operazione ShadowHammer hanno preso di mira ASUS Live Update Utility come fonte primaria dell’infezione. C’è una utility pre-installata nella maggior parte dei computer ASUS, per gli aggiornamenti automatici dei driver BIOS, UEFI e delle applicazioni. Utilizzando certificati digitali rubati, che erano stati impiegati da ASUS per siglare codici binari legittimi, gli attaccanti hanno manomesso versioni precedenti del software ASUS, inserendovi il loro codice malevolo. Le versioni dell’utility, modificate con il trojan, sono state firmate con certificati legittimi e sono state distribuite tramite i server ufficiali di aggiornamento di Asus – il che le ha rese non rilevabili da parte della maggioranza delle soluzioni di sicurezza.

Oltre 600 indirizzi MAC presi di mira

Data la tipologia di attacco il malware avrebbe potuto infettare tutti gli utilizzatori della utility, ma gli autori della minaccia dietro ShadowHammer hanno preferito concentrarsi su alcune centinaia di utenti, sui quali evidentemente avevano già diverse informazioni raccolte in precedenza. I ricercatori di Kaspersky Lab hanno scoperto che ogni variante della backdoor conteneva una tabella con un elenco di indirizzi MAC codificati – l’identificavo unico delle schede di rete utilizzate per connettere il computer. Una volta eseguita sul dispositivo di una vittima, la backdoor procedeva con la verifica dell’indirizzo MAC rispetto a questa tabella. Se l’indirizzo MAC corrispondeva a una delle voci presenti, il malware procedeva con il download dello step successivo del codice malevolo. In caso contrario, il programma di aggiornamento “infiltrato” non mostrava alcuna attività in rete: per questo motivo non è stato scoperto per un lungo periodo di tempo.

In totale, gli esperti di cybersicurezza di Kaspersky Lab sono riusciti a identificare più di 600 indirizzi MAC, presi di mira da più di 200 campioni unici di backdoor aventi shellcode differenti.

Un’operazione “chirurgica”

L’approccio modulare e le precauzioni supplementari prese nel corso dell’esecuzione del codice, per prevenire perdite accidentali del codice stesso o di dati, indicano che per gli autori di questo attacco così sofisticato era molto importante passare inosservati mentre colpivano alcuni obiettivi specifici, con una precisione che potrebbe essere definita come chirurgica.

Un’analisi più approfondita ha mostrato che l’arsenale degli attaccanti è avanzato e che il livello di sviluppo all’interno del gruppo è davvero molto alto.

La ricerca di malware simili ha rivelato la presenza di software di tre altri vendor in Asia, tutti con backdoor installate con metodi e tecniche molto simili. Kaspersky Lab ha segnalato il problema ad Asus e agli altri vendor.

I vendor selezionati sono un obiettivo estremamente allettante per i gruppi che portano avanti attacchi ATP, dal momento che possono trarre vantaggi da una grande quantità di clienti. Non è ancora molto chiaro quale fosse l’obiettivo finale di questi attaccanti e stiamo ancora cercando di capire chi si cela davvero dietro questa operazione. In ogni caso, le tecniche impiegate per ottenere l’esecuzione non autorizzata del codice, così come altri indizi scoperti, suggeriscono che ShadowHammer possa essere probabilmente collegato con il gruppo di autori di minacce APT BARIUM, in precedenza legato agli incidenti relativi a ShadowPad e CCleaner, fra gli altri. Questa nuova campagna è l’ennesimo esempio di quanto un attacco alla supply chain possa essere sofisticato e pericoloso oggi se condotto con una certa abilità”, ha commentato Vitaly Kamluk, Director of Global Research and Analysis Team, APAC, presso Kaspersky Lab.

Soluzioni efficaci

Tutti le soluzioni di Kaspersky Lab rilevano e bloccano con successo il malware utilizzato nell’Operazione ShadowHammer.

Per non diventare vittima di un attacco mirato da parte di autori di minacce conosciuti o sconosciuti, i ricercatori di Kaspersky Lab raccomandano di:

  • Implementare una soluzione di sicurezza a livello aziendale che rilevi tempestivamente le cyberminacce avanzate a livello di rete, come Kaspersky Anti Targeted Attack Platform, da affiancare ad un’indispensabile protezione degli endpoint.
  • Per il rilevamento, l’analisi e la messa in atto di una strategia di remediation tempestiva a livello endpoint, si consiglia di adottare soluzioni EDR come Kaspersky Endpoint Detection and Response o di contattare un team professionale di Incident Response.
  • Integrare i feed per la Threat Intelligence nel SIEM e altri controlli di sicurezza, in modo da avere accesso ai dati più interessanti e aggiornati sulle cyberminacce ed essere pronti a fronteggiare possibili attacchi futuri.

Kaspersky Lab presenterà tutte le scoperte sull’Operazione ShadowHammer al suo Security Analyst Summit 2019, che si terrà dal 9 all’11 aprile a Singapore.

Un report completo sulla campagna ShadowHammer è già disponibile per coloro che hanno sottoscritto l’Intelligence Reporting Service di Kaspersky Lab.

Maggiori informazioni sull’attacco sono disponibili in un blogpost dedicato su Securelist, insieme ad tool creato appositamente per verificare se i device degli utenti siano stati tra gli obiettivi. La verifica è disponibile anche da un sito web dedicato a ShadowHammer.