Kaspersky Lab lo chiama Operation ShadowHammer ed è un supply chain attack piuttosto complesso ma mirato contro un gruppo molto specifico di utenti Asus, portato avanti da un gruppo organizzato di hacker ostili. Secondo quanto ha rilevato la software house russa, nei sei mesi tra giugno e novembre 2018 i server ufficiali di Asus hanno distribuito un malware camuffato da utility per l'aggiornamento dei sistemi.

Operation ShadowHammer è in pratica la distribuzione di una versione "truccata" di Asus Live Update, una utility che gli utenti Asus trovano pre-installata sui loro PC e che gestisce gli aggiornamenti periodici di alcuni componenti tra cui applicazioni, driver e BIOS. La versione-malware della utility di aggiornamento è in realtà un cavallo di Troia capace di installare altro malware sui computer colpiti.

La pericolosità di questo nuovo supply chain attack sta nel fatto che l'utility in questione appariva completamente legittima. Gli attaccanti sono riusciti a carpire alcuni certificati digitali di Asus con cui firmare il loro malware, e lo hanno distribuito dai server ufficiali del produttore taiwanese.

Questo denota un elevato livello di sofisticazione di tutta Operation ShadowHammer, ma anche il fatto che in qualche modo gli attaccanti dovevano essersi già infiltrati nelle reti di Asus.

I certificati che indicavano come lecita la versione malware di Asus Live Update
Kaspersky Lab ipotizza che dietro all'attacco possa esserci l'APT Barium, che è considerata responsabile anche di un altro noto supply chain attack: quello ai danni della software house Piriform, che nel settembre 2017 inconsapevolmente distribuì una versione infetta dell'utility CCleaner. Si stima che il malware "travestito" abbia colpito circa 730 mila sistemi, tra cui anche alcuni in Asus. In questo modo Barium avrebbe potuto conquistare un accesso ai sistemi Asus e ricavare le informazioni utili per questo nuovo attacco.

L'elemento molto peculiare di Operation ShadowHammer è che la distribuzione a largo raggio della versione-malware di Asus Live Update serviva a colpire un numero relativamente ristretto di utenti. Kaspersky Lab ha rilevato che oltre 57 mila computer Asus con i suoi anti-malware attivi hanno scaricato l'utility con backdoor, e stima che complessivamente essa sia stata scaricata da oltre un milione di computer in tutto il mondo.

Ma il vero bersaglio dell'azione ostile sono circa seicento computer, identificati con precisione dagli indirizzi MAC delle loro schede di rete, indirizzi che sono codificati all'interno del malware. Il finto Asus Live Update, una volta installato, verifica l'indirizzo MAC del computer su cui si trova e, se corrisponde a uno dei seicento cercati, contatta un server remoto per scaricare ulteriore malware.

Kaspersky Lab non è riuscita ad esaminare il secondo malware perché il suo server di distribuzione è stato chiuso mesi fa, prima che la software house russa scoprisse tutta l'operazione. Non si sa quindi né cosa facesse, né che caratteristica particolare abbiano in comune i seicento utenti Asus identificati per l'attacco.

La risposta di Asus

Asus ha pubblicato un documento che dettaglia la sua risposta a ShadowHammer. L'azienda sottolinea che l'attacco ha colpito un numero "molto piccolo" di utenti e che Asus Live Update è stato reso nuovamente sicuro con la nuova versione 3.6.8. È anche disponibile un tool supplementare per verificare la sicurezza del proprio PC. Asus inoltre è intervenuta per rendere più protetti i meccanismi di distribuzione e identificazione degli aggiornamenti software.