Kaspersky Lab onderzoekers maakte een alarmerende ontdekking. ASUS, een van de grootste computerfabrikanten, werd gebruikt om een kwaadaardige achterdeur op de machines van de klant te installeren.
De installatie vond vorig jaar plaats nadat een hacker een server had gecompromitteerd voor de live software-updatetool van de maker. Het lijkt erop dat het schadelijke bestand is ondertekend met legitieme ASUS-certificaten, waardoor het lijkt op authentieke problemen met software-updates door het bedrijf.
Schadelijke achterdeur geïnstalleerd op een half miljoen ASUS-computers
Volgens onderzoekers van Kaspersky, een half miljoen Windows-computers werden getroffen door de kwaadaardige achterdeur via de ASUS-updateserver. Het is merkwaardig om op te merken dat de aanvallers zich alleen op het doelwit lijken te richten 600 van deze systemen, de aanval gericht maken. De kwaadaardige operatie gebruikte de MAC-adressen van de machines om ze succesvol te targeten. Nadat de malware in een systeem was geslopen, het communiceerde met de command-and-control-server, die vervolgens meer malware installeerde.
De aanval werd in januari ontdekt, Kort daarna voegde Kaspersky een nieuwe supply chain-detectietechnologie toe aan zijn scantool. Het lijkt erop dat het onderzoek nog loopt en de volledige resultaten en het technische document zullen tijdens SAS worden gepubliceerd 2019 conferentie, Kaspersky zei in haar rapport die enkele technische details over de aanval onthulde. De aanval zelf is Shadowhammer genoemd.
Het doel van de aanval was om chirurgisch een onbekende groep gebruikers te targeten, die werden geïdentificeerd door de MAC-adressen van hun netwerkadapters. Om dit te behalen, de aanvallers hadden een lijst met MAC-adressen in de trojanized samples hard gecodeerd en deze lijst werd gebruikt om de werkelijke beoogde doelen van deze grootschalige operatie te identificeren. We konden er meer uithalen dan 600 unieke MAC-adressen van over 200 monsters gebruikt bij deze aanval. Natuurlijk, er kunnen andere voorbeelden zijn met verschillende MAC-adressen in hun lijst.
De onderzoekers namen contact op met ASUS en informeerden hen over de aanval op Jan 31, 2019, ondersteuning van hun onderzoek met IOC's en beschrijvingen van de malware. “We denken dat dit een zeer geavanceerde aanval op de toeleveringsketen is, die de Shadowpad- en CCleaner-incidenten evenaart of zelfs overtreft in complexiteit en technieken,” aldus de onderzoekers.