Avete un computer (portatile o desktop) ASUS? Allora, fareste meglio ad aggiornare la macchina e controllarla con lo strumento diagnostico messo a disposizione da ASUS per scongiurare la presenza di un trojan iniettato attraverso l'utility ASUS Live Update.
Gli autori che si celano dietro l’operazione ShadowHammer hanno preso di mira ASUS Live Update, una utility pre-installata nella maggior parte dei computer ASUS che si occupa degli aggiornamenti automatici di driver BIOS, UEFI e delle applicazioni. Utilizzando certificati digitali rubati, che erano stati impiegati da ASUS per siglare codici binari legittimi, gli hacker hanno manomesso versioni precedenti del software ASUS, inserendovi il loro codice malevolo. Le versioni dell’utility, modificate con il trojan, sono state firmate con certificati legittimi e quindi distribuite tramite i server ufficiali di aggiornamento di ASUS, rendendole non rilevabili da parte della maggioranza delle soluzioni di sicurezza.
Data la tipologia di attacco, il malware avrebbe potuto infettare tutti gli utilizzatori della utility, ma gli autori della minaccia dietro ShadowHammer hanno preferito concentrarsi su alcune centinaia di utenti, sui quali evidentemente avevano già diverse informazioni raccolte in precedenza.
I ricercatori di Kaspersky Lab hanno scoperto che ogni variante della backdoor conteneva una tabella con un elenco di indirizzi MAC codificati - l’identificavo unico delle schede di rete utilizzate per connettere il computer. Una volta eseguita sul dispositivo di una vittima, la backdoor procedeva con la verifica dell’indirizzo MAC rispetto a questa tabella: se l’indirizzo MAC corrispondeva a una delle voci presenti, il malware procedeva con il download dello step successivo del codice malevolo, in caso contrario il programma di aggiornamento “infiltrato” non mostrava alcuna attività in rete. E per questo motivo non è stato scoperto per un lungo periodo di tempo.
In totale, gli esperti di cybersicurezza di Kaspersky Lab sono riusciti a identificare più di 600 indirizzi MAC, presi di mira da più di 200 campioni unici di backdoor aventi shellcode differenti.
L’approccio modulare e le precauzioni supplementari prese nel corso dell’esecuzione del codice, per prevenire perdite accidentali del codice stesso o di dati, indicano che per gli autori di questo attacco così sofisticato era molto importante passare inosservati mentre colpivano alcuni obiettivi specifici, con una precisione che potrebbe essere definita come chirurgica. Un’analisi più approfondita ha mostrato che l’arsenale degli attaccanti è avanzato e che il livello di sviluppo all’interno del gruppo è davvero molto alto. La ricerca di malware simili ha rivelato la presenza di software di tre altri vendor in Asia, tutti con backdoor installate con metodi e tecniche molto simili. Kaspersky Lab ha segnalato il problema ad Asus e agli altri vendor.
ASUS, nel frattempo, ha implementato una correzione nell'ultima versione (versione 3.6.8) del software Live Update, introdotto diversi meccanismi di verifica della sicurezza per impedire qualsiasi manipolazione dannosa sotto forma di aggiornamenti software o altri mezzi e aggiunto un meccanismo di crittografia end-to-end. Allo stesso tempo, l'azienda taiwanese ha anche aggiornato e rafforzato la propria architettura software server-to-end-user per prevenire attacchi simili in futuro.
Secondo i dati rilasciati dal team ASUS, "una quantità limitata di dispositivi è stata impattata con un codice maligno" nel tentativo di colpire un gruppo di utenti molto piccolo e specifico. Il servizio clienti ASUS ha contattato gli utenti interessati e fornito assistenza al fine di eliminare qualunque rischio di sicurezza. L'azienda ha creato uno strumento diagnostico di sicurezza online (disponibile qui) per verificare i dispositivi interessati, quindi vi invitiamo a eseguirlo in modo precauzionale se siete possessori di una macchina ASUS.
