Un attacco alla Supply Chain di ASUS ha potenzialmente coinvolto milioni di utenti, tuttavia gli esperti sono coinvinti che ci si trovi dinanzi ad una operazione mirata ad obiettivi specifici
L’attacco che ci accingiamo a discutere ha dell’eclatante per la modalità con la quale è stato perpetrato e per la caratura della vittima, il colosso ASUS.
Procediamo per gradi, l’attacco su scala globale è stato scoperto dagli esperti di Kaspersky Lab che l’anno tracciato come Operazione ShadowHammer.
Ma cosa è un attacco alla supply chain?
Gli attacchi alle supply chain (processi di distribuzione) gli attaccanti compromettono il meccanismo di aggiornamento dei pacchetti software, distribuendo in questo modo codice malevolo iniettato all’interno di software legittimo. Questi attacchi sono complessi da condurre perché richiedono una profonda conoscenza del sistema di distribuzione del software e la capacità di compromettere componenti chiavi del processo, ad esempio i server che contengono gli aggiornamenti software da gestire.
Questi attacchi sono complessi da scoprire, di fatto le vittime ripongono una fiducia cieca nei processi di aggiornamento automatico soprattutto di software forniti da giganti dell’IT. A rendere più difficoltosa l’individuazione dell’attacco sono metodiche di evasione utilizzate dai codici malevoli coinvolti nell’attacco.
Ritorniamo al caso ASUS, sembrerebbe che la supply chain dell’azienda sia stata compromessa per distribuire una backdoor a più di un milione di utenti.
L’attacco si è protratto da giugno a novembre 2018, ma gli esperti lo hanno scoperto solo nel gennaio 2019.
“Nel gennaio 2019, abbiamo scoperto un sofisticato attacco della supply chain che coinvolge ASUS Live Update Utility . L’attacco ha avuto luogo tra giugno e novembre 2018 e, secondo la nostra telemetria, ha interessato un gran numero di utenti. ” recita l’analisi pubblicata da Kaspersky Lab.
Il software malevolo distribuito nell’attacco sarebbe stato inserito all’interno dell’applicazione ASUS Live Update che è preinstallata sulla maggior parte dei computer ASUS e che consente al venditore di aggiornare automaticamente diversi componenti, inclusi driver, BIOS, UEFI e applicazioni.
Come detto in precedenza, gli attacchi alla supply chain possono avvalersi di diverse tecniche che ne rendono complessa l’individuazione, una di queste consiste nel firmare digitalmente il codice malevolo utilizzando un certificato ritenuto valido, tipicamente rubato alle vittime.
Nell’attacco ad ASUS gli hacker hanno utilizzato un certificato digitale rubato ad ASUS per firmare codici binari legittimi, questa tecnica è molto efficace e per questo motivo è stata utilizzata in altri attacchi come vedremo di seguito.
È un attacco su larga scala?
Contrariamente a quanto possiate pensare gli attaccanti hanno eseguito un attacco chirurgico che ha colpito solo 600 specifici indirizzi MAC (indirizzo fisico di una macchina), tuttavia Kaspersky non è stato in grado di determinare il numero esatto di utenti che hanno installato il software contenente la backdoor.
In base alle statistiche di Kaspersky, oltre 57.000 utenti di Kaspersky hanno scaricato e installato la versione di ASUS Live Update contenente la backdoor in un determinato momento. Gli esperti hanno stimano che l’estensione dell’attacco potrebbe essere enorme e potrebbe aver coinvolto oltre un milione di utenti in tutto il mondo.
“L’Â obiettivo dell’attacco era indirizzare chirurgicamente un pool sconosciuto di utenti, identificati dagli indirizzi MAC “, continua Kaspersky.
“Gli aggressori hanno utilizzato un elenco di indirizzi MAC per identificare gli obiettivi reali di questa massiccia operazione. Siamo stati in grado di estrarre più di 600 indirizzi MAC unici da oltre 200 campioni utilizzati in questo attacco. Naturalmente, potrebbero esserci altri campioni là fuori con indirizzi MAC diversi nella loro lista”.
Gli attaccanti dietro l’operazione ShadowHammer hanno compromesso i server di aggiornamento ASUS, circostanza che conferma la complessità dell’attacco.
“Mentre questo significa che potenzialmente ogni utente del software interessato potrebbe essere diventato una vittima, gli attori dietro ShadowHammer erano concentrati sull’accesso a diverse centinaia di utenti, di cui avevano una conoscenza precedente,” continua Kaspersky Lab.
Una volta che la backdoor viene eseguita sul dispositivo di una vittima, essa consente di il controllo del sistema della vittima qualora l’indirizzo MAC del computer sia presente nella lista che gestisce. Se l’indirizzo MAC non è presente nell’elenco il ​​malware rimane nascosto.
Gli aggressori hanno utilizzato un approccio modulare per l’attacco e molteplici precauzioni per evitare il rilevamento del malware. Gli esperti di Kaspersky sostengono che gli aggressori sono molto avanzati e il loro arsenale riflette un livello molto alto di sviluppo all’interno del gruppo.
Gli esperti di Kaspersky attribuiscono gli attacchi al gruppo BARIUM APT , lo stesso gruppo cui sono stati attribuiti attacchi alle supply chain di CCleaner e ShadowPad.
Si ritiene che il gruppo BARIUM sia parte di un gruppo piu’ ampio denominato  Winnti insieme ad altri gruppi APT come Gref, PlayfullDragon , APT17, DeputyDog , Axiom , LEAD , PassCV , Wicked Panda.
I gruppi mostrano tattiche, tecniche e procedure simili (Â TTPÂ ) e in alcuni casi hanno condiviso la medesima infrastruttura di attacco.
Interessante è la distribuzione geografica delle infezioni dell’operazione ShadowHammer fornita da Kaspersky, l’Italia si colloca quarta dietro Russia, Germania, e Francia.
Secondo Kaspersky almeno altri tre venditori in Asia sono stati colpiti con tecniche di attacco simili.
Kaspersky ha rilasciato uno strumento per consentire agli utenti di determinare se sono stati interessati dall’attacco, la società ha annunciato che fornire ulteriori informazioni sull’incidente nel corso della sua conferenza SAS 2019.
Non ci resta che attendere, ma son certo che ne vedremo delle belle, soprattutto se verranno resi noti dettagli sulla natura degli obiettivi dell’attacco.
