Эксперты «Лаборатории Касперского» обнаружили целевую атаку на владельцев ноутбуков ASUS. Чтобы добраться до 600 нужных им человек, преступники взломали официальный сервис для обновления ПО и внедрили в него троян-бэкдор. Вредоносный файл загрузили сотни тысяч пользователей по всему миру.

Кампания ShadowHammer продолжалась в течение нескольких месяцев, раскрыть ее удалось в январе 2019 года, когда специалисты подключили новый сканер для определения инъекций в легитимном коде. Зловред к этому времени охватил более 57 тыс. компьютеров с установленными продуктами «Лаборатории Касперского». Позже компания Symantec сообщила, что троян поразил по меньшей мере 13 тыс. ее пользователей, а общее число возможных жертв эксперты оценивают в сотни тысяч.

Расследование показало, что вредоносное ПО попало на машины в июне – ноябре 2018 года — пользователи скачали его под видом очередной версии загрузчика обновлений Live Update. Чтобы обойти защитные фильтры, злоумышленники подписывали свое ПО двумя подлинными сертификатами ASUS.

Скомпрометированный файл действительно представлял собой дистрибутив программы ASUS 2015 года. Преступники внедрили в загрузчик вредоносный код, который обеспечивал им контроль над пользовательскими машинами с возможностью загружать стороннее ПО.

Примечательно, что хотя использованный метод открыл злоумышленникам доступ к сотням тысяч ноутбуков ASUS, у них было всего несколько сотен конкретных целей. В код зловреда был вшит зашифрованный список MAС-адресов, с которым троян сверялся, когда попадал на компьютер. По словам аналитиков, которые расшифровали этот перечень, в нем было около 600 пунктов.

Если идентификатор сетевой карты совпадал с какой-либо позицией списка, троян связывался с командным сервером и скачивал полезную нагрузку. Преступники назвали свой домен asushotfix[.]com, чтобы посторонний адрес не бросался в глаза в журналах сетевых событий.

К моменту обнаружения преступники уже свернули активность, и экспертам не удалось получить образец полезной нагрузки. Неудачными оказались и попытки установить личности жертв — хотя специалисты расшифровали основную часть целевых MAC-адресов, определить по ним владельцев зараженных устройств невозможно. Известно лишь, что как минимум один из этих 600 пользователей проживает в России и что он оказался заражен в последних числах октября.

Эксперты связывают найденную кампанию с атаками 2017 года, когда взломщики скомпрометировали дистрибутив утилиты CCleaner. В дальнейшем специалисты определили, что преступники пытались таким образом распространять модульный троян ShadowPad.

Нынешняя кампания имеет немало общего с инцидентами двухлетней давности. Те атаки тоже были направлены против азиатской компании, имели двухступенчатый характер и коснулись значительного числа пользователей, из которых настоящие цели составили малую долю. Эти совпадения позволили аналитикам предположить, что за всеми этими случаями стоит одна и та же группировка.

Исследователи из  «Лаборатории Касперского» сообщили об инциденте производителю, однако, по их словам, компания опровергла взлом своих серверов. Уже после получения всех данных разработчики продолжали подписывать свое ПО скомпрометированным сертификатом и не стали аннулировать две подписи, которые использовались в атаках.

Эксперты подчеркивают, что это оставляет преступникам лазейку для продолжения кампании. Более того, хотя на данный момент организаторов интересовали всего несколько сот целей, бэкдор можно использовать против всех, у кого установлен опасный апдейт.

Специалисты пообещали раскрыть подробности на конференции SAS 2019, которая откроется 8 апреля в Сингапуре. Они также создали страницу, где пользователи могут проверить, нет ли их MAC-адреса в списке, составленном преступниками. Эксперты призывают выйти на связь всех, кто найдет себя среди возможных жертв кампании.

Позже ASUS опубликовала пресс-релиз, в котором подтвердила, что вредоносная кампания была нацелена на небольшое количество пользователей, а также представила обновленную версию утилиты Live Update 3.6.8. «Мы укрепили архитектуру решений «сервер — конечный пользователь», чтобы снизить вероятность подобных атак в будущем», — говорится в заявлении. Помимо этого, разработчики ASUS создали сканер, проверяющий систему на наличие бэкдора.

Категории: Аналитика, Вредоносные программы, Главное, Хакеры