A Kaspersky Lab descobriu uma nova campanha de ameaça persistente avançada (APT) que afetou um grande número de pessoas e empresas, utilizando a cadeia de suprimentos (supply chain). A pesquisa realizada pela empresa de segurança digital mostra que os grupos responsáveis pela Operação ShadowHammer tiveram como alvo os usuários do ASUS Live Update Utility, ao injetar um backdoor no aplicativo da ASUS, entre junho e novembro de 2018. Os especialistas da Kaspersky Lab estimam que o ataque pode ter afetado mais de um milhão de usuários em todo o mundo.
Protocolo de IoT é utilizado como forma de realizar ataques DDoS, aponta relatório
Devido à uma nova tecnologia presente nos produtos da Kaspersky Lab capaz de detectar ataques na cadeia de suprimento, os especialistas da companhia puderam descobrir o que parece ser um dos maiores incidentes deste tipo – que já foi visto com o ShadowPad e o CCleaner. Os grupos por trás do ShadowHammer utilizaram o ASUS Live Update Utility, que fornece atualizações para a BIOS, UEFI e atualizações dos drivers para laptops e desktops ASUS, como fonte inicial da infecção. A aplicação “trojanizada” foi assinada com um certificado legítimo e hospedado no servidor oficial da ASUS dedicado a atualizações. Isso permitiu que permanecesse sem ser detectado por um longo tempo – inclusive, os criminosos se certificaram de que o tamanho do arquivo malicioso permanecesse igual ao do original.
Isso significa que, potencialmente, todos os usuários da solução afetada podem ter sido vítimas. Os grupos por trás do ShadowHammer estavam focados em obter acesso a centenas de pessoas, sobre os quais eles tinham conhecimento prévio.
De acordo com a descoberta da Kaspersky Lab, cada código backdoor continha uma tabela com endereços MAC (identificador exclusivo dos adaptadores de rede utilizados para conectar um computador a uma rede) codificados. Depois de ser executado no dispositivo da vítima, a backdoor verificava seu endereço MAC em relação a essa lista. Caso ele fosse desconhecido, a falsa atualização permanecia inativa, razão pela qual permaneceu desconhecida por tanto tempo. Porém, caso ela identificasse o endereço MAC, a aplicação seguia com o ataque e baixava outras ameaças.
No total, os especialistas da Kaspersky Lab puderam identificar mais de 600 endereços MAC infectados – sendo 2% deles localizados no Brasil, que foram atacados por mais de 230 amostras únicas utilizando diversos códigos para se manterem instalados.
Ao investigar esse ataque, a Kaspersky Lab descobriu que as mesmas técnicas foram usadas contra software de outros três fornecedores. A companhia reportou para a ASUS e outras empresas envolvidas no ataque.