i ricercatori di Kaspersky Lab fatto una scoperta allarmante. ASUS, uno dei più grandi produttori di computer, è stato utilizzato per installare una backdoor dannoso sul macchine dei clienti.
L'installazione è avvenuta l'anno scorso dopo che un hacker ha compromesso un server per lo strumento di aggiornamento software live del produttore. Sembra che il file dannoso sia stato firmato con certificati ASUS legittimi, facendo sembrare autentici problemi di aggiornamento del software da parte dell'azienda.
Backdoor dannoso installato su mezzo milione di computer ASUS
Secondo i ricercatori di Kaspersky, mezzo milione di computer Windows sono stati colpiti dalla backdoor dannosa tramite il server di aggiornamento ASUS. È curioso notare che gli aggressori sembrano aver preso di mira solo circa 600 di questi sistemi, rendendo l'attacco mirato. L'operazione dannosa ha utilizzato gli indirizzi MAC delle macchine per bersagliarli con successo. Dopo che il malware si è intrufolato in un sistema, comunicava con il server di comando e controllo, che poi ha installato più malware.
L'attacco è stato scoperto a gennaio, poco dopo che Kaspersky ha aggiunto una nuova tecnologia di rilevamento della catena di approvvigionamento al suo strumento di scansione. Sembra che l'indagine sia ancora in corso e i risultati completi e il documento tecnico saranno pubblicati durante SAS 2019 conferenza, Kaspersky detto nel loro rapporto che ha rivelato alcuni dettagli tecnici sull'attacco. L'attacco stesso è stato soprannominato ShadowHammer.
L'obiettivo dell'attacco era colpire chirurgicamente un pool sconosciuto di utenti, che sono stati identificati dagli indirizzi MAC dei loro adattatori di rete. Per realizzare questo, gli aggressori avevano codificato un elenco di indirizzi MAC nei campioni trojanizzati e questo elenco è stato utilizzato per identificare gli obiettivi effettivi previsti di questa massiccia operazione. Siamo stati in grado di estrarre più di 600 indirizzi MAC univoci da oltre 200 campioni usati in questo attacco. Naturalmente, potrebbero esserci altri campioni là fuori con diversi indirizzi MAC nella loro lista.
I ricercatori hanno contattato ASUS e li hanno informati dell'attacco a Jan 31, 2019, supportare la loro indagine con IOC e descrizioni del malware. “Riteniamo che questo sia un attacco alla catena di approvvigionamento molto sofisticato, che corrisponde o addirittura supera gli incidenti di Shadowpad e CCleaner in complessità e tecniche,” i ricercatori hanno detto.