«Лаборатория Касперского» сообщила о целевой атаке ShadowHammer на компьютеры Asus, в которой пострадали в том числе пользователи из России. По данным компании, злоумышленники использовали утилиту Asus Live Update как первоначальный источник заражения. Она предустанавливается на большинстве новых компьютеров Asus для автоматического обновления системного программного обеспечения (ПО). Потенциально каждый пользователь такого софта мог стать жертвой атаки: по оценке «Лаборатории Касперского», это около 1 млн человек, но реальной целью были лишь несколько сотен компьютеров. В Asus подтвердили, что в курсе расследования «Лаборатории Касперского».
Злоумышленников, атаковавших Asus, интересовали устройства с 600 определенными MAC-адресами, но, чтобы их найти, они заражали множество устройств, поясняет представитель «Лаборатории Касперского»: «Только среди пользователей наших продуктов 57 тыс. скачали и установили этот вредонос. Из них 18% — из России». В целом на соотношение жертв в разных странах должно повлиять то, насколько распространены там устройства Asus.
В 2018 году персональные компьютеры Asus заняли третье место (13,6%; 787 тыс. штук) по объему поставок в Россию после HP (23,2%; 1,3 млн) и Lenovo (18,2%; 1,1 млн), посчитала IDC.
По данным «Лаборатории Касперского», таблицу со списком MAC-адресов атакующие внедряли вместе с вредоносным софтом в компьютерное ПО с июня по ноябрь 2018 года.
После запуска на устройстве жертвы «зловред» проверял, входит ли этот MAC-адрес в список, и, если он входил, загружался следующий модуль вредоносного кода. Если же нет, утилита не проявляла никакой дополнительной сетевой активности, из-за чего атака долго оставалась необнаруженной.
«Лаборатория Касперского» также сообщила, что выявила схожие проблемы в ПО еще трех вендоров компьютеров в азиатском регионе, не раскрывая их названий.
Атаковавшие Asus злоумышленники нашли слабое место в цепочке поставок ПО для компании, поясняют в «Лаборатории Касперского». Чтобы осуществить атаку, злоумышленники стремятся обнаружить уязвимости в системах, участвующих в жизненном цикле продукта, от этапа его разработки до момента поступления к пользователю. Сам вендор может быть полностью защищен, но уязвимость в инфраструктуре его поставщика может нанести урон всей цепочке поставок, рассуждают в компании.
Пока неизвестно, какой была конечная цель атаки и кто за ней стоял, но есть сходство между ShadowHammer и целевыми атаками группировки Barium, известной по инцидентам CCleaner и ShadowPad, уточняет руководитель исследовательского центра «Лаборатории Касперского» в Азиатско-Тихоокеанском регионе Виталий Камлюк.
Спектр возможных задач злоумышленников начинается от отслеживания писем конкретных людей до промышленного шпионажа с целью получения конфиденциальной информации, полагает аналитик Digital Security Денис Рыбин: «Для такой атаки нужны хорошая квалификация и высокий уровень доступа, что свидетельствует в пользу крупных организаций с высоким финансированием». Атаки на цепочки поставок — довольно дорогой, но гарантированный способ доставки вредоносного ПО, констатирует эксперт «Ростелеком-Solar» Виктор Сергеев. Знание MAC-адресов устройств говорит о высоком уровне осведомленности злоумышленников о целях, соглашается Денис Рыбин. По его словам, атаки на цепочки поставок затрагивают всех пользователей конкретного ПО или устройств: «Пользователь при этом просто пользуется устройством или программой, как и положено, не совершая никаких опасных действий, однако в результате все равно подвергается взлому».
Кристина Жукова