Cybercriminali sono riusciti a portare a termine un attacco denominato ShadowHammer che ha coinvolto la catena di approvvigionamento di Asus, noto produttore di notebook, PC, schede madri e accessori vari. Questo articolo è stato aggiornato con le dichiarazioni rilasciate da Asus che trovate in calce in questo articolo.
Nel “Live Update” dei PC ASUS, utility di serie di questo marchio che si occupa di verificare, scaricare e gesire gli aggiornamenti BIOS, UEFI e dei software ai portatili e computer ASUS, è stata individuata una backdoor, distribuita agli utenti mediante i canali ufficiali del produttore.
GLi sviluppatori del software antivirus Kaspersky hanno individuato quello che sembra essere uno degli incidenti più importanti che abbiano mai coinvolto la supply chain. L’utility infetta è stata firmata con un certificato legittimo e si trovava sul server ufficiale ASUS dedicato agli aggiornamenti, elemento che ha reso possibile che passasse inosservata a lungo. I cybercriminali, inoltre, si sono accertati che le dimensioni del file dell’utility dannosa corrispondessero a quelli dell’utility originale.
Secondo i dati del produttore antivirus, oltre 57 mila utenti dei prodotti di Kaspersky Lab hanno installato l’utility contenente la backdoor, ma le persone coinvolte potrebbero essere un milione in totlale. A quanto pare i cybercriminali non hanno interesse per tutti gli utenti ma avrebbero colpito solo 600 indirizzi MAC (Media Access Control) specifici, per i quali gli hash erano presenti in hard-code nelle diverse versioni dell’utility.
Kaspersky riferisce che durante le indagini riguardo l’attacco è stato scoperto che le stesse tecniche sono state utilizzate sui software di tre altre case produttrici. ASUS e le altre aziende sono state avvisate dell’attacco. Se usate prodotti di ASUS il consiglio è di aggiornare la Live Update Utility prima possibile.
Aggiornato: le dichiarazioni di ASUS
Gli Advanced Persistent Threat (APT) sono degli attacchi lanciati da gruppi di hacker che portano il medesimo nome, colpiscono a livello nazionale e nella maggior parte dei casi arrivano da alcuni paesi specifici. Gli attacchi hanno come primario obiettivo utenti quali organizzazioni o entità internazionali anziché i consumatori.
ASUS Live Update è uno strumento proprietario fornito con i notebook ASUS per garantire che il sistema possa beneficiare sempre dei driver e firmware più recenti. Una quantità limitata di dispositivi è stata impattata con un codice maligno attraverso un attacco sofisticato sui server di Live Update, nel tentativo di colpire un gruppo di utenti molto piccolo e specifico. Il servizio clienti ASUS ha contattato gli utenti interessati e fornito assistenza al fine di eliminare qualunque rischio di sicurezza.
ASUS ha anche implementato una correzione nell’ultima versione (versione 3.6.8) del software Live Update, introdotto diversi meccanismi di verifica della sicurezza per impedire qualsiasi manipolazione dannosa sotto forma di aggiornamenti software o altri mezzi e implementato un meccanismo di crittografia end-to-end. Allo stesso tempo, l’azienda ha anche aggiornato e rafforzato la propria architettura software server-to-end-user per prevenire attacchi simili in futuro.
ASUS ha creato uno strumento diagnostico di sicurezza online per verificare i dispositivi interessati e incoraggia gli utenti a eseguirlo in modo precauzionale. Lo strumento è disponibile qui. Per qualsiasi altro dubbio contattare il servizio clienti ASUS.
Ulteriori informazioni sugli attacchi APT sono disponibili qui.