ShadowHammer – атака на цепочку поставок: под угрозой более миллиона пользователей по всему миру

25 марта 2019
Kaspersky Lab обнаружила новую целевую атаку на цепочку поставок. Исследование компании выявило, что мишенями злоумышленников ShadowHammer были пользователи ASUS Live Update – утилиты для обновления драйверов в режиме онлайн. В период с июня по ноябрь 2018 года атакующие внедрили в это ПО бэкдор, который, по оценкам экспертов Kaspersky Lab, поставил под угрозу безопасность более миллиона пользователей по всему миру. 

Атаки на цепочку поставок – один из наиболее опасных и эффективных векторов заражения, который в последнее время всё чаще используется при целевых атаках. Известные примеры – ShadowPad и CCleaner. В подобных случаях злоумышленники стремятся обнаружить уязвимости во взаимосвязанных системах, участвующих в жизненном цикле продукта, от этапа его разработки до момента поступления к пользователю. Атакующие ищут слабые места в человеческих, организационных, материальных и интеллектуальных ресурсах, необходимых для создания и реализации продукта или услуги.  Сам вендор при этом может быть полностью защищён, но уязвимость в инфраструктуре его поставщика может нанести урон всей цепочке поставок, что способно привести к серьёзной утечке данных.

Создатели ShadowHammer использовали ASUS Live Update как первоначальный источник заражения. Эта утилита предустанавливается на большинстве новых компьютеров ASUS с целью автоматического обновления системного ПО (включая BIOS, UEFI, приложения и драйверы). Атакующие внедряли вредоносный код в модифицированные старые версии ПО ASUS, используя украденные цифровые сертификаты, которые применялись ASUS для подписывания легитимных бинарных файлов. После чего утилиты с встроенными троянцами подписывались легитимными сертификатами и распространялись с официальных серверов обновлений ASUS, что делало их практически невидимыми для абсолютного большинства защитных решений.



Цифровая подпись троянизированного инсталятора ASUS Live Update.

Хотя это и означает, что потенциально каждый пользователь такого ПО мог стать жертвой атаки, реальной целью создателей ShadowHammer было всего несколько сотен конкретных устройств. Как обнаружили исследователи Kaspersky Lab, код каждого бэкдора содержал таблицу со списком определённых MAC-адресов, то есть уникальных идентификационных кодов, которые присваиваются сетевым картам, чтобы компьютер мог подсоединяться к сети. После запуска на устройстве жертвы зловред проверял, входит ли этот MAC-адрес в список. Если данное условие выполнялось, то загружался следующий модуль вредоносного кода. В противном случае эта утилита не проявляла никакой дополнительной сетевой активности, и именно поэтому атака так долго оставалась необнаруженной. В общей сложности исследователи смогли идентифицировать свыше 600 MAC-адресов в этом списке. Они стали целью для более чем 230 уникальных образцов вредоносного ПО, у каждого из которых был различный шелл-код.

При исполнении вредоносного кода применялся модульный подход и были предприняты дополнительные меры предосторожности, чтобы предотвратить случайную утечку кода или данных. Это указывает на то, что злоумышленникам было очень важно оставаться незамеченными, атаки же на определённые цели они проводили с хирургической точностью. Глубокий технический анализ показывает, что арсенал ShadowHammer очень продвинут и подразумевает крайне высокий уровень разработки в группе.

Поиск схожего вредоносного ПО выявил, что в программном обеспечении ещё трёх вендоров в Азиатском регионе были обнаружены бэкдоры, которые использовали похожие методы и техники. Kaspersky Lab сообщила ASUS и другим компаниям об обнаруженной проблеме.

"Выбранные компании являются чрезвычайно привлекательными мишенями для злоумышленников, которые, вероятно, хотят воспользоваться обширной клиентской базой организаций в своих целях. На данный момент мы не знаем, какой была конечная цель этой атаки, также мы всё ещё расследуем, кто за ней стоял. Однако методы, используемые для достижения несанкционированного исполнения кода, а также другие обнаруженные артефакты указывают на то, что ShadowHammer может иметь отношение к целевым атакам BARIUM. Ранее они были связаны с инцидентами CCleaner и ShadowPad. Эта кампания – ещё один пример того, насколько сложной и опасной может быть сегодня атака через цепочку поставок", – подчеркнул Виталий Камлюк, руководитель исследовательского центра Kaspersky Lab в Азиатско-Тихоокеанском регионе.

Kaspersky Lab детектирует и блокирует вредоносное ПО, которое использовалось ShadowHammer.

Чтобы не стать жертвой целевой атаки, Kaspersky Lab рекомендует принять следующие меры:

  • в дополнение к обязательной защите конечных устройств внедрите многоуровневое решение для корпоративной безопасности, например Kaspersky Anti Targeted Attack Platform, которое на ранней стадии обнаружит продвинутые угрозы на уровне сети;
  • для защиты конечных устройств, в том числе для обнаружения, расследования и своевременной ликвидации последствий инцидентов, рекомендуется использовать EDR-решения, такие как Kaspersky Endpoint Detection and Response, или обратиться за помощью к профессиональной команде реагирования на инциденты;
  • интегрируйте сервис информирования об угрозах в свои SIEM-системы и другие элементы управления безопасностью, чтобы получить доступ к наиболее релевантным и актуальным данным об угрозах, а также подготовиться к возможным атакам.
Kaspersky Lab раскроет подробности кампании ShadowHammer на конференции Security Analyst Summit 2019, которая пройдёт 9-11 апреля в Сингапуре.

Полный отчёт о кампании ShadowHammer уже доступен для клиентов сервиса Kaspersky Intelligence Reporting.

Более подробная информация об атаке, в том числе инструмент проверки, позволяющий определить, были ли устройства пользователей целью злоумышленников, можно найти на Securelist: https://securelist.com/operation-shadowhammer/89992/. Проверить это можно также на сайте https://shadowhammer.kaspersky.com/.