У минулому році група хакерів зламала сервер автоматичного оновлення програмного забезпечення ASUS Live в період з червня по листопад 2018 року і впровадила шкідливі поновлення для установки бекдор на більш ніж один мільйон комп'ютерів Windows по всьому світу.
Компанія Asus була проінформована про триваючу атаку по ланцюжку поставок 31 січня 2019 року.
За оцінками дослідників, півмільйона комп'ютерів Windows отримали шкідливий бекдор через сервер оновлень ASUS. Дослідники дізналися, що хакери не хотіли експлуатувати всіх користувачів, а тільки певний список з 600 користувачів, ідентифікованих за їх унікальним MAC-адресами, які були жорстко закодовані в шкідливе ПЗ. Потрапивши в систему і виявивши один з цільових MAC-адрес, шкідлива програма зверталася до командно-контрольного сервера, на якому працювали зловмисники, після чого на ці машини довантажувати додаткове шкідливе ПЗ.
Зловмисники використовували два різних цифрових сертифіката ASUS для підпису свого шкідливого ПЗ. Термін дії першого з них закінчився в середині 2018 року, тому зловмисники переключилися на другий законний сертифікат ASUS, щоб підписати своє шкідливе ПЗ після цього.
Шкідливий файл, переданий клієнтським комп'ютерам, називався setup.exe і мав на меті бути оновленням самого інструменту оновлення. Фактично це був трирічний файл оновлення ASUS, випущений в 2015 році, який зловмисники впровадили за допомогою шкідливого коду, перш ніж підписати його легітимним сертифікатом ASUS.
За даними «Лабораторії Касперського», зловмисники видавали його користувачам в період з червня по листопад 2018 року. Використання старого виконуваного файлу з поточним сертифікатом передбачає, що зловмисники мали доступ до сервера, де ASUS підписує свої файли, але не до самого сервера збірки, де він компілює нові. Оскільки зловмисники використовували один і той же двійковий файл ASUS кожен раз, це говорить про те, що у них не було доступу до всієї інфраструктури ASUS, а тільки до частини інфраструктури, де проводився підпис.
Законні оновлення програмного забезпечення ASUS все ще постачалися клієнтам протягом періоду, коли шкідливе ПЗ було випущено, але ці законні оновлення були підписані іншим сертифікатом, який використовував покращений захист перевірки, що ускладнило підробку.
У цих шкідливих зразках були приховані жорстко закодовані значення хеш-функції MD5, які виявилися унікальними MAC-адресами для мережевих адаптерів. Якщо виявлявся збіг з будь-яким з 600 цільових MAC-адрес, шкідлива програма зверталася до сайту asushotfix.com, що маскується під легітимний сайт ASUS, для отримання бекдора другого етапу, який завантажувався в систему.
Дослідники в даний момент не приписували атаку якійсь групв APT, але деякі свідчення пов'язували останню атаку з інцидентом ShadowPad, що стався в 2017 році, який Microsoft приписала виконавцям BARIUM APT. ShadowPad призначався для корейської компанії, яка виробляє корпоративне програмне забезпечення для адміністрування серверів. Та ж сама група була також пов'язана з нападом на CCleaner. Хоча мільйони машин були заражені шкідливим оновленням програмного забезпечення CCleaner, тільки на підмножину цих комп'ютерів був завантажений бекдор другого етапу, аналогічний жертвам ASUS.
Symantec повідомила, що компанія виявила шкідливе ПЗ на більш ніж 13 000 комп'ютерів, на яких встановлене антивірусне програмне забезпечення.
За словами «Лабораторії Касперського», шкідлива версія ASUS Live Update була завантажена і встановлена на не менше ніж 57 000 систем. Більшість жертв походять з Росії, Німеччини, Франції, Італії та США.
«Лабораторія Касперського» випустила спеціальний автономний інструмент і запустила онлайн-сторінку (https://shadowhammer.kaspersky.com), де користувачі ASUS можуть шукати свої MAC-адреси, щоб перевірити, чи є вони в списку заражень.
Однак багато хто вважає, що для великих підприємств з сотнями тисяч систем це не зручний спосіб дізнатися, заражені вони чи ні.
Щоб вирішити цю проблему і допомогти іншим експертам в галузі кібербезпеки продовжити полювання, технічний директор австралійської служби безпеки Skylight Шахар Зіни надав повний список з майже 583 MAC-адрес (https://skylightcyber.com/2019/03/28/unleash- the-hash-shadowhammer-mac-list / list.txt).
Дослідники Skylight отримали список цільових MAC-адрес за допомогою автономного інструменту, випущеного Kaspersky, який містить повний список з 619 MAC-адрес в виконуваному файлі, але захищений за допомогою алгоритму salted hash.
Вони використовували потужний сервер Amazon і модифіковану версію інструменту злому паролів HashCat, щоб дістати 583 MAC-адреси менш ніж за годину.