Operācija ShadowHammer: jauns piegādes ķēdes uzbrukums apdraud simtiem tūkstošu lietotāju visā pasaulē

25. marts 2019
Kaspersky Lab ir atklājus jaunu, sarežģītu pastāvīgo draudu (APT) kampaņu, kas skārusi lielu skaitu lietotāju, ar tā saucamā piegādes ķēdes uzbrukuma starpniecību. Uzņēmuma pētnieki ir atklājuši, ka aiz operācijas ShadowHammer stāvošie noziedznieki par savu mērķi izvēlējušies ASUS Live Update utilītprogrammas lietotājus, injicējot šajā programmā lūku laika periodā vismaz no 2018. gada jūnija līdz novembrim. Kaspersky Lab eksperti lēš, ka par uzbrukuma upuriem varētu būt kļuvuši vairāk kā miljons lietotāju visā pasaulē.

Piegādes ķēdes uzbrukumi ir viens no visbīstamākajiem un visefektīvākajiem inficēšanas veidiem, kuru pēdējos gados arvien vairāk izmanto sarežģītās operācijās – kā to varēja novērot ar ShadowPad vai CCleaner. Par mērķi tiek izvēlētas īpašas vājās vietas cilvēkresursu, organizatorisko, materiālo un intelektuālo resursu savstarpējās saskares zonās, kuras tiek izmantotas produkta dzīves cikla laikā; no izstrādes sākuma posma līdz pat galalietotājam. Ja ražotāja infrastruktūra ir droši aizsargāta, vājos punktus iespējams atrast pakalpojuma nodrošinājumā, kas var ļaut ietekmēt piegādes ķēdes darbību un novest pie postošiem un negaidītiem kiberdrošības pārkāpumiem.

Ļaundari, kas stāv aiz ShadowHammer, bija nomērķējušies uz ASUS Live Update utilītprogrammu ar nolūku pārveidot to par sākotnējās infekcijas avotu. Šī utilītprogramma tiek instalēta lielākajā daļā jauno ASUS datoru automātiskai BIOS, UEFI, draiveru un lietotņu atjaunināšanai. Izmantojot zagtus digitālos sertifikātus, kurus ASUS izmantoja likumīgu bināro datņu parakstīšanai, uzbrucēji pārveidoja vecākas ASUS programmatūras versijas, ievitojot tajās pašu izstrādātu ļaundabīgu kodu. Utilīprogrammas Trojas zirga versijas tika parakstītas ar likumīgu sertifikātu, tika saglabātas un izplatītas ar oficiālo ASUS atjaunināšanas serveru starpniecību – kas arī padarīja tās neredzamas lielākajai daļai aizsardzības risinājumu.



Trojanizētajai programmatūrai izmantots zagts digitālais sertifikāts.

Tas nozīmē, ka ikviens pārveidotās utilītprogrammas lietotājs var kļūt par upuri, tomēr ļaundari, kas stāv aiz ShadowHammer, koncentrēja uzmanību uz piekļuvi vairākiem simtiem lietotāju, par kuriem tie jau iepriekš bija ievākuši informāciju. Kā noskaidroja Kaspersky Lab pētnieki, katrā lūkas kodā bija ierakstītas MAC adrešu – datora pieslēgšanai tīklam izmantoto adapteru unikālu identifikatoru – tabulas. Darbojoties upura datorā, lūka pārbaudīja, vai datora MAC adrese sakrīt ar kādu no tabulā esošajām. Ja MAC adrese sakrita ar kādu no tabulā iekodētajām, ļaunprogrammatūra lejupielādēja nākamo bīstamā koda sastāvdaļu. Pretējā gadījumā instalētais atjauninātājs neizrādīja nekādu aktivitāti, tādēļ tos arī neizdevās pamanīt visai ilgstošu laika sprīdi.  Drošības ekspertiem pavisam izdevās identificēt vairāk nekā 600 MAC adrešu. Uz šīm adresēm tika sūtīti 230 atšķirīgi lūku paraugi ar dažādiem čaulas kodiem.

Modulārā pieeja un īpaša piesardzība koda izpildes laikā, kas nepieļāva nejaušu datu vai koda noplūdi, liecina par to, ka šī īpaši sarežģītā uzbrukuma izstrādātājiem bija ļoti svarīgi palikt nepamanītiem un ar ķirurģisku precizitāti apstrādāt savus īpašos mērķus. Padziļināta tehniskā izpēte liecina, ka uzbrucēju arsenāls ir visai mūsdienīgs un norāda uz ļoti augstu šīs grupas dalībnieku attīstības līmeni.

Līdzīgas ļaunprogrammatūras meklējumi atklāja, ka vēl trijiem Āzijas ražotājiem programmatūra apstrādāta ļoti līdzīgā veidā. Kaspersky Lab informējusi par šo atklājumu ASUS un citus ražotājus.

"Atlasītie ražotāji ir īpaši kārots kumoss APT grupām, jo tās varētu mēģināt izmantot šo piegādātāju visai apjomīgo klientu bāzi. Vēl pagaidām nav īsti skaidrs, kāds īsti ir uzbrucēju galamērķis, un mēs turpinām pētīt, kas stāv aiz šiem uzbrukumiem. Tomēr paņēmieni, kas tika izmantoti neautorizēta koda izpildes panākšanai, kā arī citas raksturīgas iezīmes, liecina, ka ShadowHammer, visticamāk, ir saistīts ar BARIUM APT, kura jau iepriekš bija iesaistīta ShadowPad, CCleaner un vairākos citos incidentos. Šī jaunā kampaņa lieku reizi apliecina, cik sarežģīts un bīstams mūsdienās var būt gudri izplānots uzbrukums piegādes ķēdei," skaidro Vitālijs Kamluks, Kaspersky Lab Globālās Izpētes un Analīzes grupas vadītājs Āzijas un Klusā okeāna reģiona (APAC) valstīs.

Visi Kaspersky Lab produkti sekmīgi atklāj un bloķē operācijā ShadowHammer izmantoto ļaunprogrammatūru.

Lai nekļūtu par zināmu vai nezināmu ļaundaru mērķtiecīga uzbrukuma upuriem, Kaspersky Lab speciālisti rekomendē izmantot šādus līdzekļus:
papildus obligātai adaptīvajai galiekārtu aizsardzībai uzstādiet korporatīvās klases drošības risinājumus, kuri spēj atklāt sarežģītus apdraudējumus jau tīkla līmenī to agrīnas darbības stadijā, piemēram, Kaspersky Anti Targeted Attack Platform;
galiekārtu līmeņa detektēšanai, izpētei un savlaicīgai draudu novēršanai eksperti iesaka uzstādīt EDR risinājumus, piemēram, Kaspersky Endpoint Detection and Response vai sazināties ar profesionālu incidentu novēršanas komandu;
integrējiet Threat Intelligence kanālus jūsu SIEM un citus drošības kontroles līdzekļus, lai varētu piekļūt vissvaigākajai informācijai par apdraudējumiem un sagatavotos iespējamiem uzbrukumiem.

Kaspersky Lab iepazīstinās ar visiem atklājumiem, kas saistīti ar operāciju ShadowHammer, pasākumā Security Analyst Summit 2019 Singapūrā, 9.-11. aprīlī. Pilns ziņojuma teksts par ShadowHammer kampaņu jau tagad ir pieejams Kaspersky Intelligence Reporting Service lietotājiem.

Pārskats, kurā aprakstīts uzbrukums, kā arī īpašs rīks, kas palīdz noskaidrot, vai lietotāja dators arī ticis pakļauts uzbrukumam, atrodams arī vietnē Securelist. Pārbaudi iespējams veikt arī atsevišķā interneta vietnē.

Par Kaspersky Lab
Kaspersky Lab ir starptautisks kiberdrošības uzņēmums ar pārvaldītājsabiedrību Apvienotajā Karalistē un digitālo infrastruktūru, kas tiek migrēta uz Šveici. Tam ir izpētes centri 3 kontinentos, 35 biroji 31 valstī 5 kontinentos, vairāk kā 4000 darbinieku un tā darbojas gandrīz 200 valstīs un teritorijās.

Kaspersky Lab jau 21 gadu strādā informācijas drošības jomā. Dziļas speciālās zināšanas un uzņēmuma pieredze veido pamatu aizsardzības risinājumiem un pakalpojumiem, kas nodrošina uzņēmumu, kritiskās infrastruktūras, valsts iestāžu un mājas lietotāju drošību visā pasaulē. Kaspersky Lab plašais piedāvājumu klāsts ietver progresīvus izstrādājumus galiekārtu aizsardzībai, kā arī vairākus specializētos risinājumus un pakalpojumus cīņai ar sarežģītiem un nepārtraukti evolucionējošiem kiberdraudiem. Kaspersky Lab tehnoloģijas aizsargā vairāk nekā 400 miljonus lietotāju un 270 tūkstošus korporatīvo klientu, palīdzot saglabāt tiem svarīgo.