As principais notícias da semana passada são um ataque direcionado aos proprietários de dispositivos Asus através do utilitário Asus Live Update hackeado. Pesquisadores da Kaspersky Lab encontraram um ataque em janeiro deste ano: um
utilitário infectado para atualizar drivers em laptops e computadores com componentes Asus foi assinado com um certificado legítimo e distribuído pelos servidores do fabricante. A modificação do utilitário forneceu aos crackers acesso total a todos os sistemas afetados, mas eles usaram essa oportunidade apenas quando o endereço MAC de um dos adaptadores de rede do sistema correspondeu à lista de sistemas de interesse.
Nesse caso, outro malware foi baixado do servidor criado em março de 2018 e parou de funcionar antes que o ataque fosse detectado - por enquanto, para fins desconhecidos. O ataque é notável por sua complexidade e discrição. Muito provavelmente, foi precedido por eventos de maior escala com o objetivo de coletar informações e identificar vítimas “promissoras”. Embora seja muito cedo para falar sobre a atribuição exata de um ataque, há evidências que o associam a incidentes anteriores com o utilitário
CCleaner de 2017. Uma investigação completa do ataque será publicada na próxima semana e apresentada na conferência da Kaspersky Lab,
Security Analyst Summit . Neste post - uma breve descrição do incidente e algumas conclusões.
Fontes principais:
notícias ,
trechos de um estudo da Kaspersky Lab, um artigo detalhado na
Motherboard , uma
declaração oficial da Asus. Você pode verificar o endereço MAC do seu dispositivo Asus usando
este serviço online.
O que aconteceu
De junho a novembro de 2018, uma versão infectada do utilitário Asus Live Update foi distribuída a partir dos servidores da Asus. O programa está pré-instalado nos laptops deste fabricante, mas também está disponível para proprietários de computadores baseados nas placas-mãe da Asus. Ele permite que você baixe os drivers mais recentes do BIOS, firmware e dispositivo e os instale automaticamente. O aplicativo malicioso foi carregado nos servidores do fornecedor, assinado pelos certificados legítimos da empresa e distribuído como uma atualização para o programa. O Reddit
discute o comportamento estranho do utilitário, embora ainda não tenha sido estabelecido se o incidente mencionado no encadeamento está associado a esse ataque.
Embora o utilitário tenha sido "atualizado", na verdade era uma versão desatualizada do programa com funcionalidade maliciosa adicional (uma análise do código malicioso realizado por um pesquisador independente está
aqui ). Pode-se concluir que a infraestrutura da Asus estava parcialmente comprometida: os invasores tiveram acesso ao servidor de atualização e aos certificados digitais, mas não ao código-fonte do aplicativo e aos servidores de compilação. A detecção de um utilitário malicioso foi possível graças aos testes de uma nova tecnologia destinada a detectar ataques na cadeia de suprimentos (em inglês - a cadeia de suprimentos) - quando os atacantes de alguma forma atacam software ou hardware antes de serem entregues à vítima final do consumidor ou comprometem as ferramentas de serviço e gerenciamento de dispositivos durante a operação - aqueles que costumam ser confiáveis.
Quem machucou
Se você contar todos aqueles que usaram o utilitário "com um anexo", dezenas de milhares de usuários foram afetados, a maioria deles da Rússia, Alemanha e França. Mas isso é apenas de acordo com a Kaspersky Lab. Mais tarde, a Symantec forneceu seus próprios dados - eles contaram 13 mil sistemas infectados, com
uma parcela maior de usuários nos EUA. Isso claramente não é afetado, provavelmente o malware estava em centenas de milhares de sistemas. Mas na maioria dos computadores atacados, o utilitário não fez nada, apenas verificou os endereços MAC com seu próprio banco de dados. Em caso de coincidência do servidor de comando (o domínio asushotfix [.] Com foi registrado para ele), um software adicional foi carregado. Em alguns casos, o gatilho era uma combinação dos endereços MAC dos módulos de rede com e sem fio.
De duzentas amostras do utilitário infectado, conseguimos extrair cerca de 600 endereços MAC dos sistemas aos quais o ataque do ShadowHammer estava realmente direcionado. O que foi feito com eles ainda não está claro: o servidor de comando parou de funcionar até que os pesquisadores descobriram o ataque. Os fatos conhecidos terminam aí, as conclusões começam.
Agora, a complexidade do ataque dificilmente surpreende ninguém - há exemplos de ataques direcionados com investimentos muito mais sérios em pesquisa e desenvolvimento. Uma característica importante da operação do ShadowHammer é que é um ataque bem-sucedido da cadeia de suprimentos. O software infectado é distribuído a partir dos servidores do fabricante, assinado pelo certificado do fabricante - no lado do cliente, não há razão para não confiar nesse cenário. Nesse caso, estamos lidando com um utilitário pré-instalado, mas outros programas que o usuário normalmente instala por conta própria também foram atacados com êxito. Os especialistas da Kaspersky Lab têm motivos para acreditar que o novo ataque do ShadowHammer está relacionado a dois incidentes, há dois anos.
No primeiro caso, o utilitário CCleaner mencionado acima foi modificado, também foi distribuído pelos servidores do fabricante. No segundo caso, o fabricante do software para gerenciar dispositivos na rede corporativa NetSarang foi atacado. É possível que tenha havido outros ataques durante os quais os atacantes coletaram os endereços MAC dos computadores de interesse das vítimas. Nesta história, há uma dica de uma das reais razões para a infecção em massa de dispositivos IoT - câmeras IP, roteadores e similares. Nem sempre é possível acessar os dados de interesse através de um dispositivo infectado, mas informações suficientes podem ser coletadas para uso na próxima operação mais direcionada.
Obviamente, surge a questão da confiança nos fabricantes de hardware e software: se uma atualização ou driver de software chega de um fornecedor, é seguro ou não? Talvez você ainda precise confiar, caso contrário, o ponto de vulnerabilidade pode simplesmente mudar para outro lugar. Uma resposta imediata a esses incidentes pelo fabricante também é bem-vinda. No caso da Asus, segundo a Kaspersky Lab, quase dois meses se passaram desde a primeira notificação (final de janeiro) até a confirmação oficial do problema (26 de março). Gostaria de saber quais tecnologias serão usadas para detectar rapidamente esses ataques? Há algo em que trabalhar, tanto para os fabricantes de software quanto para os fornecedores de segurança. Ainda existem poucos casos de uso de um certificado legítimo para assinar malware, mas a mera presença de uma assinatura digital não pode mais servir como o único critério para avaliar o software.
Isenção de responsabilidade: as opiniões expressas neste resumo nem sempre coincidem com a posição oficial da Kaspersky Lab. Caros editores, geralmente recomendam tratar qualquer opinião com ceticismo saudável.