pesquisadores da Kaspersky Lab fez uma descoberta alarmante. ASUS, um dos maiores fabricantes de computadores, foi usado para instalar um backdoor malicioso em máquinas dos clientes.
A instalação ocorreu no ano passado depois que o hacker comprometeu um servidor para a ferramenta de atualização de software ao vivo do fabricante. Parece que o arquivo malicioso foi assinado com certificados ASUS legítimos, fazendo com que pareça problemas autênticos de atualizações de software da empresa.
Backdoor malicioso instalado em meio milhão de computadores ASUS
De acordo com pesquisadores da Kaspersky, meio milhão de computadores Windows foram afetados pelo backdoor malicioso por meio do servidor de atualização ASUS. É curioso notar que os atacantes parecem ter focado apenas em 600 desses sistemas, tornando o ataque direcionado. A operação maliciosa usou os endereços MAC das máquinas para direcioná-los com sucesso. Depois que o malware entrou furtivamente em um sistema, ele se comunicou com o servidor de comando e controle, que instalou mais malware.
O ataque foi descoberto em janeiro, logo após a Kaspersky adicionar uma nova tecnologia de detecção da cadeia de suprimentos à sua ferramenta de digitalização. Parece que a investigação ainda está em andamento e resultados completos e documentos técnicos serão publicados durante o SAS 2019 conferência, Kaspersky disse em seu relatório que revelou alguns detalhes técnicos sobre o ataque. O ataque em si foi apelidado de ShadowHammer.
O objetivo do ataque era segmentar cirurgicamente um pool desconhecido de usuários, que foram identificados pelos endereços MAC dos adaptadores de rede. Para alcançar isto, os atacantes haviam codificado uma lista de endereços MAC nas amostras trojanizadas e essa lista foi usada para identificar os alvos reais pretendidos dessa operação maciça. Conseguimos extrair mais de 600 endereços MAC exclusivos de mais de 200 amostras usadas neste ataque. Claro, pode haver outras amostras por aí com diferentes endereços MAC em sua lista.
Os pesquisadores contataram a ASUS e os informaram sobre o ataque em janeiro 31, 2019, apoiando sua investigação com COIs e descrições do malware. “Acreditamos que este seja um ataque muito sofisticado à cadeia de suprimentos, que combina ou supera os incidentes Shadowpad e CCleaner em complexidade e técnicas,” os pesquisadores disseram.