Aggiornamento software ASUS hackerato e usato per far diffondere un malware
Aggiornamento software ASUS hackerato e usato per far diffondere un malware
Vi ricordate l’hackeraggio di CCleaner? Fu uno dei cyber-attacchi più proficui della storia: nel settembre 2017, riuscì a infettare i sistemi di circa 2,3 milioni di utenti semplicemente usato la backdoor del software. Beh, qualche settimana fa è avvenuto qualcosa di simile. Dei ricercatori hanno infatti portato alla luce un altro, enorme attacco a catena che ha compromesso più di un 1 milione di computer ASUS.
Hackeraggio software ASUS: cos’è successo?
Lo scorso anno, un gruppo di hacker è riuscito a prendere il comando dell’aggiornamento del software ASUS Live automatic prima che la famosa casa di produzione lo rilasciasse tra giugno e novembre 2018. L’aggiornamento è stato sfruttato per installare una backdoor su oltre un milione di computer con sistema operativo Windows.
Stando a quanto riferiscono i ricercatori di sicurezza di Kaspersky Lab, i primi a scoprire l’attacco e a soprannominarlo Operazione ShadowHammer, ASUS è stata informata dell’accaduto già a fine gennaio.
Dopo aver analizzato oltre 200 campioni di aggiornamenti infetti, i ricercatori sono giunti alla conclusione che l’attacco non era generalizzato, bensì vi era una lista ben precisa di utenti identificabili tramite degli indirizzi MAC che erano stati inseriti nel malware. “Siamo stati in grado di estrarre oltre 600 indirizzi unici MAC da più di 200 campioni coinvolti nell’attacco. Naturalmente potrebbero essercene altri con indirizzi diversi,” hanno puntualizzato i ricercatori.
Proprio come nel caso degli attacchi a CCleaner e ShadowPad, il file malevolo è stato dotato del marchio digitale ufficiale di ASUS, così che sembrasse provenire direttamente dalla casa di produzione, guadagnando la fiducia degli utenti e del sistema antivirus, che, nei piani dei cyber-criminali, non avrebbe individuato l’anomalia per diverso tempo.
I ricercatori non sono riusciti ad collegare l’attacco a nessun gruppo noto per attacchi di tipo ATP, tuttavia, le prove sembrano offrire somiglianze col caso ShadowPad, del 2017, i cui colpevoli furono individuati nel gruppo BARIUM APT. “Di recente, i nostri colleghi di ESET ci hanno parlato di un altro attacco a catena in cui il gruppo BARIUM è risultato coinvolto, e noi crediamo che abbia anch’esso a che fare col nostro caso,” hanno affermato i ricercatori di Kaspersky.
Secondo i dati, circa 57mila utenti Kaspersky avrebbero installato l’aggiornamento ASUS infetto. “Non siamo in grado di calcolare il totale degli utenti colpiti dall’attacco, almeno non basandoci solo sui dati in nostro possesso; tuttavia, è ragionevole pensare che si possa arrivare anche a un milione,” hanno specificato i ricercatori.
La prova che abbiano ragione risiede nel fatto che Symantec ha individuato il malware in oltre 13mila dei sistemi che utilizzano l’antivirus omonimo. Gran parte degli utenti Kaspersky colpiti, vivono in Russia, Germania, Francia, Italia, e Stati Uniti, ma il malware si è esteso a livello mondiale. Kaspersky ha informato subito ASUS e le altre case di produzione di antivirus, ma le indagini al riguardo sono ancora in corso.
Per chi di voi ha un ASUS e usa Kaspersky, la casa di produzione ha rilasciato un tool che aiuta gli utenti a scoprire se il loro computer è stato attaccato da ShadowHammer.
Swascan Marketing Team
