Kompanija Kaspersky Lab otkrila je novu naprednu kampanju trajne pretnje (APT) koja je zahvatila veliki broj korisnika kroz ono što je poznato kao napad na lanac snabdevanja. Naše istraživanje je otkrilo da su akteri pretnji koji stoje iza operacije ShadowHammer ciljali korisnike programa ASUS Live Update, ubacivanjem backdoor-a u njega najmanje između juna i novembra 2018. godine. Stručnjaci kompanije Kaspersky Lab procenjuju da je napad možda uticao na više od milion korisnika širom sveta.
Napad na lanac snabdevanja je jedan od najopasnijih i najefikasnijih vektora infekcije, koji se sve više koristi u naprednim operacijama tokom poslednjih nekoliko godina – kao što smo videli u slučajevima ShadowPad ili CCleaner. Napad je usmeren na specifične slabosti u međusobno povezanim sistemima kadrovskih, organizacionih, materijalnih i intelektualnih resursa uključenih u životni ciklus proizvoda: od početne faze razvoja do krajnjeg korisnika. Dok infrastruktura dobavljača može biti sigurna, mogu postojati ranjivosti u objektima njegovih provajdera koje mogu sabotirati lanac snabdevanja, što bi dovelo do razornog i neočekivanog proboja podataka.
Akteri koji se nalaze iza operacije ShadowHammer targetirali su ASUS Live Update Utility kao početni izvor infekcije. Ovo je pre-instalirani uslužni program u većini novih ASUS računara, za automatsko ažuriranje BIOS-a, UEFI-ja, upravljačkih programa i aplikacija. Koristeći ukradene digitalne sertifikate koje ASUS koristi za potpisivanje legitimnih binarnih datoteka, napadači su manipulisali starijim verzijama ASUS softvera, ubacujući svoj zlonamerni kod. Trojanizovane verzije uslužnog programa potpisane su sa legitimnim sertifikatima, smeštene su i distribuirane sa zvaničnih ASUS servera za ažuriranje – što ih je činilo uglavnom nevidljivim za većinu zaštitnih rešenja.
Iako to znači da bi potencijalno svaki korisnik pogođenog softvera mogao postati žrtva, akteri koji stoje iza ShadowHammer-a bili su fokusirani na dobijanje pristupa za nekoliko stotina korisnika o kojima su imali prethodno znanje. Kao što su istraživači kompanije Kaspersky Lab otkrili, svaki backdoor kod je sadržao tabelu fiksiranih MAC adresa – jedinstveni identifikator mrežnih adaptera koji se koristi za povezivanje računara sa mrežom. Kada se jednom pokrene na uređaju žrtve, backdoor je verifikovao svoju MAC adresu u odnosu na ovu tabelu. Ako se MAC adresa poklapa sa jednim od unosa, malver preuzima sledeću fazu zlonamernog koda. U suprotnom, infiltrirani program za ažuriranje nije pokazao nikakvu mrežnu aktivnost, zbog čega je tako dugo ostao neotkriven. Stručnjaci za bezbednost su ukupno mogli da identifikuju više od 600 MAC adresa. One su bile targetirane od strane preko 230 jedinstvenih backdoor uzoraka sa različitim shellkodovima.
Modularni pristup i dodatne mere predostrožnosti koje su preduzete prilikom izvršavanja koda u cilju sprečavanja slučajnog curenja koda ili podataka, ukazuju na to da je za aktere iza ovog sofisticiranog napada bilo vrlo važno da ostanu neotkriveni dok su s hirurškom preciznošću pogađali neke vrlo specifične ciljeve. Detaljna tehnička analiza pokazuje da je arsenal napadača veoma napredan i da odražava veoma visok nivo razvoja unutar grupe.
Potraga za sličnim malverom otkrila je softver kod tri prodavca u Aziji i svi su imali slične tajne metode i tehnike. Kompanija Kaspersky Lab je prijavila problem kompaniji Asus i drugim proizvođačima.
,,Izabrani proizvođači predstavljaju izuzetno atraktivne mete za APT grupe koje bi mogle da iskoriste njihove velike baze klijenata. Još nije sasvim jasno koji je bio krajnji cilj napadača i još uvek istražujemo ko stoji iza napada. Međutim, tehnike iskorišćene za neovlašćeno izvršavanje koda, kao i drugi otkriveni artefakti ukazuju na to da je ShadowHammer verovatno povezan sa grupom BARIUM APT, koja je između ostalih prethodno bila povezana sa slučajevima ShadowPad i CCleaner. Ova nova kampanja je još jedan primer toga kako današnji napadi na lanac snabdevanja mogu biti sofisticirani i opasni“, izjavio je Vitali Kamluk (Vitaly Kamluk), direktor globalnog tima za istraživanje i analizu za Azija-Pacifik region kompanije Kaspersky Lab.
Svi porizvodi kompanije Kaspersky Lab uspešno otkrivaju i blokiraju malver koji je iskorišćen u operaciji ShadowHammer.
Kako ne biste postali žrtva ciljanog napada poznatih ili nepoznatih aktera pretnji, istraživači kompanije Kaspersky Lab preporučuju da primenite sledeće mere:
• Pored usvajanja neophodne zaštite za krajnje tačake, usvojte i korporativno bezbednosno rešenje koje napredne pretnje na nivou mreže otkriva u ranoj fazi, kao što je rešenje Kaspersky Anti Targeted Attack Platform;
• Za detekciju na nivou krajnjih tačaka, pretraživanje i blagovremeno uklanjanje incidenata, preporučujemo da primenite EDR rešenja kao što je Kaspersky Endpoint Detection and Response ili da kontaktirate profesionalni tim za reagovanje na incidente;
• Integrišite Threat Intelligence fid u svoje SIEM i druge bezbednosne kontrole kako biste dobili pristup najrelevantnijim i najnovijim podacima o pretnjama i tako se pripremili za buduće napade.
Kompanija Kaspersky Lab će predstaviti potpune nalaze o operaciji ShadowHammer na Security Analyst Samitu 2019, koji će biti održan u Singapuru od 9. do 11. aprila.
Detaljan izveštaj o kampanji ShadowHammer već je dostupan korisnicima usluge Kaspersky Intelligence Reporting Service.
Blog koji rezimira napad, kao i specijalni alat dizajniran za proveru da li su uređaji korisnika bili meta napada, možete pronaći na Securelist. Validacija je takođe dostupna na posebnom sajtu.