ShadowHammer: «Лаборатория Касперского» рассказала о заразившей миллион устройстве атаке через ASUS Live

Опубликовано at 13:30
135 0

Специалисты «Лаборатории Касперского» рассказали подробности о вредоносной кампании, получившей название «Операция ShadowHammer». Произошедшее можно описать как классическую атаку на цепочку поставок: около полугода назад злоумышленники скомпрометировали компанию Asus, сумели закрепиться в сети и принялись раздавать бэкдоры через предустановленный на устройства Asus инструмент для автоматического обновления ASUS Live Update.

По данным исследователей, атака имела место между июнем и ноябрем 2018 года (если сформулировать это иначе, хакеры контролировали ASUS Live Update на протяжении целого полугода!), и затронула «множество владельцев устройств Asus». Сразу возникает вопрос, а «множество» это сколько?

За этот период ASUS Live Update с бэкдором загрузили и установили на свои машины более 57 000 пользователей продуктов «Лаборатории Касперского». И хотя оценить весь масштаб произошедшего весьма сложно (эксперты полагались только на достоверные данные, полученные от пользователей продуктов «Лаборатории Касперского»), аналитики считают, что в общей сложности из-за случившегося пострадали более миллиона человек по всему миру.

Больше всего жертв вредоносного ASUS Live Updater проживают в России, Германии и Франции (впрочем, как и большинство пользователей продуктов «Лаборатории Касперского», так что реальная статистика по миру может существенно отличаться).

Другая любопытная деталь: при таком большом в итоге размахе атаки изначальной целью злоумышленников был сравнительно небольшой пул пользователей: их «опознавали» по MAC-адресам сетевых адаптеров. Изучив около 200 вредоносных образцов, экспертам удалось обнаружить более 600 таких MAC-адресов, хэши которых были зашиты в различные версии утилиты. Изучить малварь второй стадии, которая загружалась на устройства из этого списка, экспертам пока не удалось из-за малого числа пострадавших, равно как и выяснить конечную цель .«Операции ShadowHammer».

Не менее интересен и тот факт, что зараженные версии апдейтера были подписаны двумя действительными сертификатами ASUSTeK Computer Inc. Один из них истек в середине 2018 года, и тогда атакующие переключились на второй, который до сих пор не был отозван.

Как отмечают эксперты, данная кампания во многом похожа на другие известные атаки на цепочку поставок. В частности, исследователи упоминают известный инцидент 2017 года, связанный с малварью ShadowPad. Тогда было скомпрометировано популярное приложение CCleaner, использующееся для оптимизации и «чистки» ОС семейства Windows.

Позже аналитики Microsoft связали вредоноса ShadowPad с APT-группировкой BARIUM, также известной благодаря использованию бэкдора Winnti. Так, всего две недели назад АКБ писало об анализе экспертами ESET  другой вредоносной кампании этой группы, в ходе которой были атакованы азиатские игровые компании.

Детальный технический отчет о случившемся специалисты «Лаборатории Касперского» планируют обнародовать на конференции SAS 2019, что стартует 8 апреля 2019 года в Сингапуре.

АКБ напоминает, что ранее «Лаборатория Касперского» насчитала, что в 2018 году количество атак с использованием мобильной малвари достигло отметки 116 500 000, то есть возросло почти вдвое (против 66 400 000 в 2017 году). При этом отмечается, что количество самой малвари для мобильных платформ снизилось.

Читайте также на АКБ:

…Эксперты «Лаборатории Касперского» насчитали сотни тысяч устройств, по-прежнему уязвимых перед шифровальщиком WannaCry. По данным компании, в III квартале 2018 года на него пришлось 29% (75 тысяч инцидентов) всех атак зловредов-вымогателей — на 12% больше, чем в аналогичный период прошлого года.

…Российские программисты из «Лаборатории Касперского» совместно с учеными группы функциональной нейрохирургии Оксфордского университета после изучения потенциальных проблем, приступили к работе по устранению уязвимостей, найденных в работе нейроимплантов.

Дело в том, что современные методы лечения многих заболеваний предполагают установку в мозг электродов, подключенных к генератору импульсов. Настройки устройства меняет врач с помощью специальных программ. Однако воздействовать на него могут и злоумышленники, причем удаленно. Это может привести к последствиям вплоть до фатальных.

…Politico сообщает. что именно «Лаборатория Касперского» обратила внимание АНБ на странное поведение их подрядчика Гарольда Мартина, бывшего коллеги Сноудена, который также оказался виновным в краже невероятного объема секретных данных.

По данным издания, в 2016 году сотрудники российской компании уведомили АНБ о странных сообщениях, отправленных со связанной с Мартином учетной записи в Twitter («@HAL999999999»). В общей сложности с аккаунта было отправлено пять кратких загадочных сообщений явно шифрованного характера, одно из которых содержало просьбу о встрече, а второе гласило: «срок годности, три недели». После того, как сотрудники «Лаборатории Касперского» ответили на сообщения, «@HAL999999999» заблокировал свою учетную запись.

…«Лаборатория Касперского» опубликовала достаточно смелый местами прогноз на 2019 год, основанный на текущих тенденциях в киберугрозах и цифровом мире в целом. Так, по мнению экспертов, по-прежнему серьезной угрозой останутся APT-кампании (т.е. целенаправленные хакерские атаки на конкретную цель): они сложны, их трудно обнаружить, а используемый инструментарий постоянно совершенствуется.

Касательно инфраструктурных атак, в «Лаборатории» считают, что увеличится их количество на такие базовые элементы, как сетевые устройства, которые продолжат вербовать в качестве «солдат» для ботнетов – яркий пример тому в этом году VPNFilter, который пришлось обезвреживать ФБР – и использовать ее, в числе прочего, для проведения малозаметных целевых атак. Возрастание армии IoT-ботнетов вызывает у экспертов особую тревогу.

…То ли защитные меры со стороны ЦБ РФ дают свой эффект, то ли еще что: но наблюдается поворот тренда, и место банков, как самых популярных целей хакеров, сменяют компьютеры промышленных компаний. По данным «Лаборатории Касперского», в 2018 году кибернападениям в России подверглись 48% компьютеров индустриальных предприятий. Речь идет о компьютерах автоматизированных систем управления технологическим процессом (АСУ ТП).

Подписываемся, следим @CyberAgency

Related Post

Ошибка «резидента». МВД вылечит бестелесность дубиной

Опубликовано - 05.01.2018 0
Министерство внутренних дел РФ снова планирует ужесточить уголовную ответственность за хищения электронных денег. Такие планы на 2018 год представитель министерства…

Group-IB: глобальный тренд киберугроз – атаки через физические уязвимости микропроцессоров

Опубликовано - 10.10.2018 0
Международная ИБ-компания Group-IB выпустила отчет, в котором сообщила, что  в начале 2018 года источником глобальной угрозы кибербезопасности стали уязвимости микропроцессоров и…

Фейковые новости стали бизнес-моделью

Опубликовано - 17.11.2017 0
Киберпреступники превратили фейковые новости в прибыльную бизнес-модель. Согласно исследованию фирмы в области интернет-безопасности Digital Shadows, количество услуг, направленных на создание…

Добавить комментарий