Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

CompromissioneMalwareMinacce

ASUS aggiorna il tool Live Update per contrastare gli attacchi ShadowHammer

APT  ASUS  ShadowHammer   mercoledì, 27 marzo 2019

Kaspersky Lab ha scoperto una nuova campagna APT, battezzata Operation ShadowHammer, che avrebbe colpito più di un milione di utenti di computer portatili ASUS in tutto il mondo.

Tra giugno e novembre del 2018 gli attori malevoli sono riusciti a compromettere, mediante un attacco diretto alla supply-chain, il tool ASUS Live Update Utility, iniettandovi una backdoor e facendo sì che il software manipolato venisse distribuito agli utenti attraverso i canali ufficiali. La ASUS Live Update Utility consente la distribuzione di aggiornamenti per il BIOS, UEFI, e altri applicativi software installati sui computer portatili ASUS.

Il codice della backdoor contiene una tabella predefinita di indirizzi MAC, ossia gli identificativi univoci degli adattatori di rete utilizzati per connettere un computer a una rete. Una volta eseguita, la backdoor verifica se l’indirizzo MAC del dispositivo della vittima è incluso in questa tabella. In caso di corrispondenza, il codice malevolo scarica lo stadio successivo del malware, altrimenti resta inattivo.

Si tratta quindi evidentemente di un attacco mirato ad un particolare gruppo di utenti. Gli esperti sono stati in grado di identificare un totale di più di 600 indirizzi MAC codificati nel malware. Sulla base dei dati statistici raccolti, Kaspersky ha calcolato che più di 57.000 utenti hanno scaricato nel periodo indicato una versione di ASUS Live Update contenente la backdoor. Stando a quanto riportato dai ricercatori, la portata reale dell’attacco potrebbe essere molto più vasta, arrivando a coinvolgere più un milione di vittime in tutto il mondo.

Kaspersky ha predisposto un sito Web dove è possibile verificare se l’indirizzo MAC del proprio computer è incluso fra quelli presi di mira da ShadowHammer (link in fondo all’articolo).

ASUS ha risposto ufficialmente alla diffusione delle notizie riguardanti questi attacchi ed ha rilasciato un aggiornamento di Live Update (versione 3.6.8) che risolve la vulnerabilità introdotta dall’attacco, implementando altresì diversi meccanismi di sicurezza atti a prevenire altre future manipolazioni non autorizzate di questo software.

Si raccomanda a tutti gli utenti di computer portatili ASUS di verificare lo stato di compromissione del proprio dispositivo e di aggiornare il prima possibile il tool ASUS Live Update.

Per maggiori dettagli su questa minaccia è possibile consultare le seguenti fonti esterne (in Inglese):

Notizie correlate

La APT Slingshot sfrutta router vulnerabili per impiantare spyware

13 marzo 2018

I ricercatori di Kaspersky Lab hanno individuato una campagna di cyber-spionaggio riconducibile ad una minaccia di tipo APT denominata Slingshot, attiva dal 2012.Leggi tutto

La backdoor Gazer spia ambasciate e consolati in Europa

5 settembre 2017

ESET hapubblicato i risultati di una ricerca condotta su Gazer, una backdoor utilizzata in attacchi a consolati, ambasciate, ministeri e altre istituzioni governative in varie parti del mondo.Leggi tutto

Un nuovo tipo di attacco minaccia Microsoft Outlook Web App (OWA)

7 ottobre 2015

Una nuova minaccia di tipo APT (Advanced Persistent Threat) prende di mira l’applicazione di Webmail OWA (Outlook Web App) di Microsoft.Leggi tutto