מעבדת קספרסקי: מתקפה על תוכנת העדכון במחשבי ASUS מאיימת על מאות אלפי משתמשים ברחבי העולם

קספרסקי

מעבדת קספרסקי חשפה קמפיין חדש של איום מתמשך (APT) הפועל באמצעות מתקפה מסוג "שרשרת אספקה". מחקר מעבדת קספרסקי מצא כי גורם האיום מאחורי Operation ShadowHammer תקף משתמשים של Asus Live Update Utility באמצעות הזרקה של דלת אחורית. ההתקפה נערכה בתקופה שבין יוני לנובמבר 2018 (לפחות). מומחי מעבדת קספרסקי מעריכים כי ייתכן שההתקפה השפיעה על יותר ממיליון משתמשים ברחבי העולם.

מתקפת שרשרת אספקה היא אחד מאפיקי ההדבקה המסוכנים והיעילים ביותר כיום, המנוצלת בתדירות גבוהה יותר במהלך השנים האחרונות במסגרת פעילויות מתקדמות – כפי שראינו עם ShadowPad או CCleaner. ההתקפה מנצלת חולשה מסוימת במערכת המשמשת במחזור חיי מוצר, בתפר שבין אנשים, ארגונים, חומרים, ומשאבים אינטלקטואליים: בין אם מדובר בשלב הפיתוח הראשוני או במשתמש הקצה. גם כאשר התשתית של יצרן מסוים מאובטחת, במתקפה שכזו פירצה אצל הספקים שלו מובילה לחבלה בשרשרת האספקה, ומשם לדליפת נתונים הרסנית ובלתי צפויה.

במסגרת ShadowHammer הותקפה תוכנת ASUS Live Update Utility כנקודת המוצא להתקפה. כלי זה, המותקן מראש ברוב מחשבי ה-ASUS החדשים, משמש לצורך ביצוע עדכונים אוטומטיים של BIOS, UEFI, דרייברים ואפליקציות. באמצעות תעודות דיגיטליות גנובות ששימשו את ASUS כדי לבצע חתימה לקוד שהיא מפיצה, התוקפים הצליחו לחבל בגרסאות ישנות יותר של תוכנת ASUS, כשהם מצליחים להזריק אליהן את הקוד הזדוני שלהם. הגרסאות הפגומות של הכלי נחתמו עם תעודות לגיטימיות, ונשמרו והופצו בשרתי העדכון הרשמיים של ASUS – דבר שהפך אותן לבלתי נראות עבור רוב פתרונות ההגנה.

למעשה, באמצעות פעולה זו כל משתמש בתוכנת העדכון הנגועה עלול להפוך לקורבן. אך הגורם שמאחורי ShadowHammer התמקד בהשגת גישה למאות בודדות של משתמשים, לגביהם היה לו מידע מוקדם. כפי שחוקרי מעבדת קספרסקי חשפו, כל קוד של דלת אחורית הכיל טבלה של מקודדת של כתובות MAC –המזהה הייחודי של מתאמי רשת המשמשים לצורך חיבור של מחשב לרשת. ברגע שהדלת האחורית הופעלה במחשב הקורבן, היא בדקה את כתובת ה-MAC אל מול הטבלה המקודדת.

אם הכתובת תאמה לאחד מהמספרים בטבלה, הקוד הזדוני הוריד את השלב הבא של הקוד. אחרת, תוכנת העדכון הפרוצה לא ביצעה שום פעילות ברשת, דבר שאפשר לה להישאר נסתרת לזמן רב. בסך הכל, מומחי אבטחה הצליחו לזהות יותר מ-600 כתובות MAC. אלה הותקפו באמצעות יותר מ-230 דוגמיות ייחודיות של דלת אחורית עם shellcodes שונים.

הגישה המודולארית והזהירות העודפת בהן נקטו בעת הפעלת הקוד, כדי למנוע חשיפה מקרית של הקוד, מצביעים על כך שהיה חשוב מאוד לגורמים שמאחורי ההתקפה המתוחכמת להישאר בצללים, תוך שהם תוקפים מטרות מסוימות מאוד ברמת דיוק כירורגי. ניתוח עומק טכני מראה כי מערך הנשקים של התוקפים הוא מתקדם מאוד, והוא מראה על יכולת פיתוח גבוהה מאוד בתוך הקבוצה.

חיפוש אחר קוד זדוני דומה, חשף תוכנה של שלושה ספקים נוספים באסיה אשר נפרצו עם דלת אחורית בשיטות וטכניקות דומות מאוד. מעבדת קספרסקי דיווחה על הבעיה ל-Asus ולספקים האחרים.

"הספקים שנבחרו מהווים מטרות אטרקטיביות מאוד עבור קבוצות APT אשר יכולות לנצל את בסיס הלקוחות העצום שלהם. עדיין לא ברור לחלוטין מה היה היעד הסופי של התוקפים, ואנו עדיין חוקרים מי נמצא מאחורי ההתקפה. עם זאת, הטכניקות שהיו בשימוש כדי להשיג הפעלה בלתי מורשת של קוד, וכן ממצאים אחרים שנחשפו, מצביעים על כך ש-ShadowHammer כנראה קשור ל-BARIUM APT. גורם זה קושר בעבר לאירועי ShadowPad ו-CCleaner. הקמפיין הנוכחי מהווה דוגמא נוספת לרמת התחכום והסיכון שמייצרת התקפה על שרשרת האספקה", אמר ויטאלי קמלוק, מנהל צוות המחקר והניתוח הגלובלי APAC של מעבדת קספרסקי.

כל מוצרי מעבדת קספרסקי מזהים וחוסמים בהצלחה את הקוד הזדוני שמשמש בפעילות ShadowHammer.

כדי להימנע מנפילה כקורבן להתקפה ממוקדת מצד גורם איום מוכר או שאינו מוכר, חוקרי מעבדת קספרסקי ממליצים על הטמעת האמצעים הבאים:
· בנוסף לחובה להפעיל פתרון הגנה על נקודות קצה, יש להטמיע פתרון אבטחה ברמה ארגונית אשר מזהה איומים מתקדמים בשלב מוקדם, ברמת הרשת , כגון Kaspersky Anti Targeted Attack Platform
· לצורך זיהוי, חקירה ותיקון של אירועים ברמת נקודת הקצה, אנו ממליצים על הטמעת פתרון EDR או התקשרות עם צוות תגובה מקצועי, כגון Kaspersky Endpoint Detection and Response
· מומלץ להטמיע עדכוני Threat Intelligence בתוך ה-SIEM שלכם, ובבקרי אבטחה נוספים, כדי לקבל גישה לנתוני האיומים הרלוונטים והעדכניים ביותר ולהתכונן להתקפות עתידיות.