A Kaspersky Lab descobriu uma nova campanha de ameaça persistente avançada (APT) que afetou um grande número de pessoas e empresas, utilizando a cadeia de suprimentos (supply chain). A pesquisa realizada pela empresa de segurança digital mostra que os grupos responsáveis pela Operação ShadowHammer tiveram como alvo os usuários do ASUS Live Update Utility, ao injetar um backdoor no aplicativo da ASUS, entre junho e novembro de 2018. Os especialistas da Kaspersky Lab estimam que o ataque pode ter afetado mais de um milhão de usuários em todo o mundo.
Devido à uma nova tecnologia presente nos produtos da Kaspersky Lab capaz de detectar ataques na cadeia de suprimento, os especialistas da companhia puderam descobrir o que parece ser um dos maiores incidentes deste tipo – que já foi visto com o ShadowPad e o CCleaner. Os grupos por trás do ShadowHammer utilizaram o ASUS Live Update Utility, que fornece atualizações para a BIOS, UEFI e atualizações dos drivers para laptops e desktops ASUS, como fonte inicial da infecção. A aplicação “trojanizada” foi assinada com um certificado legítimo e hospedado no servidor oficial da ASUS dedicado a atualizações. Isso permitiu que permanecesse sem ser detectado por um longo tempo – inclusive, os criminosos se certificaram de que o tamanho do arquivo malicioso permanecesse igual ao do original.
Isso significa que, potencialmente, todos os usuários da solução afetada podem ter sido vítimas. Os grupos por trás do ShadowHammer estavam focados em obter acesso a centenas de pessoas, sobre os quais eles tinham conhecimento prévio. De acordo com a descoberta da Kaspersky Lab, cada código backdoor continha uma tabela com endereços MAC (identificador exclusivo dos adaptadores de rede utilizados para conectar um computador a uma rede) codificados. Depois de ser executado no dispositivo da vítima, a backdoor verificava seu endereço MAC em relação a essa lista. Caso ele fosse desconhecido, a falsa atualização permanecia inativa, razão pela qual permaneceu desconhecida por tanto tempo. Porém, caso ela identificasse o endereço MAC, a aplicação seguia com o ataque e baixava outras ameaças. No total, os especialistas da Kaspersky Lab puderam identificar mais de 600 endereços MAC infectados – sendo 2% deles localizados no Brasil, que foram atacados por mais de 230 amostras únicas utilizando diversos códigos para se manterem instalados.
Ao investigar esse ataque, a Kaspersky Lab descobriu que as mesmas técnicas foram usadas contra software de outros três fornecedores. A companhia reportou para a ASUS e outras empresas envolvidas no ataque.
“Os fabricantes selecionados são alvos extremamente atraentes para grupos de APT pela sua vasta base de clientes. Ainda não está muito claro qual foi o objetivo final dos atacantes e ainda estamos pesquisando quem estava por trás deles. No entanto, as técnicas usadas para executar códigos não autorizados, bem como outros artefatos descobertos sugerem que o ShadowHammer provavelmente está relacionado ao BARIUM APT, que anteriormente estava ligado aos incidentes do ShadowPad e do CCleaner, entre outros”, afirma Vitaly Kamluk, diretor da Equipe Global de Pesquisa e Análise da Kaspersky Lab para a região Ásia-Pacífico. “Esta nova campanha é mais um exemplo de como um ataque inteligente e sofisticado na cadeia de fornecimento pode ser perigoso hoje em dia.”
Para evitar ser vítima de um ataque direcionado por uma ameaça conhecida, ou mesmo desconhecida, os pesquisadores da Kaspersky Lab recomendam:
– Além de adotar a proteção de endpoint, implemente uma solução de segurança corporativa que detecte ameaças avançadas no nível de rede em seu estágio inicial, como o Kaspersky Anti Targeted Attack Platform;
– Para detecção, investigação e possível remediação de incidentes no nível do endpoint, é recomendado a implementação de soluções de EDR, como o Kaspersky Endpoint Detection and Response, ou contar com uma equipe profissional de resposta a incidentes;
– É importante também integrar feeds de Threat Intelligence ao SIEM e a outros controles de segurança, a fim de obter acesso aos dados de ameaças mais relevantes e atualizados e se preparar para futuros ataques.
