ASUS Live Update Utility hacked ! Tutto sembra assurdo.

Cosa c’è dietro? Non lo sapremo mai!

kaspersky : 25/03/2019 “Grazie ad una nuova tecnologia dei nostri prodotti in grado di rilevare gli attacchi  al cuore del “supply-chain”, i nostri esperti hanno scoperto quello che sembra essere uno dei più grandi incidenti della “supply-chain” di sempre (ricordate CCleaner? Questo è più grande). Qualcuno  ha modificato l’ASUS Live Update Utility, che fornisce aggiornamenti BIOS, UEFI e software per computer portatili e desktop ASUS, aggiungendo l’apertura di una backdoor, e poi distribuito agli utenti attraverso canali ufficiali.

supply-chain =Un sistema di organizzazioni, persone, attività, informazioni e risorse coinvolte nel processo atto a trasferire o fornire un prodotto o un servizio dal fornitore al cliente.

L’utility “trojanizzata” è stata firmata con un certificato legittimo ed è stata ospitata sul server ufficiale ASUS dedicato agli aggiornamenti, il che gli ha permesso di rimanere inosservata per lungo tempo. I criminali si sono anche assicurati che la dimensione del file dell’utility di aggiornamento rimanesse uguale a quella originale.

 

Assurdo !

Secondo le nostre statistiche, più di 57.000 utenti dei prodotti Kaspersky Lab hanno installato l’utility, ma si stima che sia stata distribuita a circa 1 milione di persone in totale. I cybercriminali dietro di essa non erano interessati a tutti loro, tuttavia – hanno preso di mira solo 600 indirizzi MAC specifici, per i quali gli hash sono stati hardcoded in diverse versioni dell’utility. Per verificare se il vostro indirizzo MAC è nella lista di destinazione, utilizzate il nostro strumento, che troverete su https://shadowhammer.kaspersky.com/.

Durante le indagini su questo attacco, abbiamo scoperto che le stesse tecniche sono state usate contro software di altri tre fornitori. Naturalmente, abbiamo notificato l’attacco ad ASUS e ad altre aziende. Al momento, tutte le soluzioni Kaspersky Lab rilevano e bloccano le utility trojanizzate, ma suggeriamo comunque di aggiornare l’ASUS Live Update Utility se lo si utilizza. La nostra indagine è ancora in corso.

Se volete saperne di più su uno dei più grandi attacchi della supply chain di sempre, immergervi nei dettagli tecnici, vedere il CIO, capire chi erano gli obiettivi, e ottenere qualche consiglio su come proteggersi dagli attacchi della supply chain come questo, vi suggeriamo di visitare il SAS 2019 – la più calda conferenza sulla sicurezza apre le sue porte l’8 aprile a Singapore. Lì faremo un discorso dedicato all’ShadowHammer APT con molti dettagli interessanti. I biglietti sono quasi esauriti, quindi fareste meglio a sbrigarvi.

In alternativa, è possibile leggere il nostro rapporto completo, che sarà disponibile anche durante il SAS, su securelist.com. Restate sintonizzati!”

Considerazioni

Gli attaccanti sono dovuti entrare nei server di Asus, hanno modificato il software di aggiornamento inserendo  un malware che permette di creare una backdoor sul computer vittima , hanno utilizzato certificati validi per la compilazione  , hanno infettato più di un milione di utenti ma si sono concentrati solo su 600 macchine.

La domanda nasce spontanea e, anche la risposta. Perche hanno infettato il mondo intero ? ->per raggiungere il loro scopo, i 600 pc.

Non sapremo mai quei 600 pc se facessero parte di una fornitura ad una azienda pubblica o privata, ad una associazione o ad un ente che non esiste.

Ma tutto è di una gravità eccezionale e ci si rende conto che la domanda non è “ma è possibile ?” ma “come lo facciamo ?”.

E’ tutto possibile, tutto !