Cyber-Security | Kaspersky scopre ShadowHammer, minaccia per milioni di utenti

Ci risiamo, Kaspersky ha scoperto una nuova minaccia , operazione ShadowHummer.

shadowhummer

Una nuova campagna attiva, Advanced Persistent Threat, ha colpito, secondo un'indagine di Kaspersky Lab una grande quantità di utenti, definendolo come un attacco Supply Chain ( catena di distribuzione).




Gli autori della minaccia, stando a quanto riportato da Kaspersky , denominata "Operazione ShadowHummer" hanno preso di mira milioni di utenti, precisamente quelli appartenenti alla categoria di Asus Live Update Utility, inserendo una backdoor , questo tipo di attacco, definito proprio come un mirato attacco alla supply chain è uno dei  più pericolosi ed efficaci, visto che prende di mira le debolezze fisiche all'interno dei sistemi interconnessi , coinvolte effettivamente ed attivamente nel ciclo di vita di alcuni prodotti , dalla fase iniziale e sviluppo, fino all'utente finale.
Ma non finisce qui , perchè secondo Kaspersky potrebbero esserci delle vulnerabilità nelle infrastrutture dei fornitori e di conseguenza la supply chain nel senso più stretto potrebbe essere compromessa con un pericoloso attacco e con un ulteriore violazione dei dati privati.



Nei PC di Asus , esiste un app preinstallata , per garantire l'aggiornamento del Bios ,in questo caso, utilizzando dei certificati rubati, gli attaccanti, non hanno fatto altro che manomettere le versioni del software inserendovi il loro codice malevolo, violando a sua volta ogni tipo di protezione , in modo tale da poter essere spacciati per certificati legittimi attraverso i server e canali ufficiali di Asus.
Gli esperti di Kaspersky hanno scoperto che ogni variante della backdoor conteneva una tabella con indirizzi MAC già codificati, ed una volta eseguita sul dispositivo della vittima, la backdoor verificava il MAC rispetto a quelli contenuti nella tabella, se il tutto coincideva allora procedeva con il download dai server Asus e all'installazione diretta, filtrando in modo tranquillo tutti i dati del malware , kaspersky ha verificato ed ufficializzato più di 600 MAC presi di mira e, scansionando bene il codice , di certo ha confermato la presenza di un "arsenale" avanzato e di un livello superiore di sviluppo.

Vitaly Kamluk , director of global research and analyst team di Kaspersky ha chiarito che :

"I vendor selezionati sono un obiettivo estremamente allettante per i gruppi che portano avanti attacchi ATP, dal momento che possono trarre vantaggi da una grande quantità di clienti.
Non è ancora molto chiaro quale fosse l'obiettivo finale di questo attacco e stiamo ancora cercando di capire cosa si cela dietro questa operazione, in ogni caso le tecniche impiegate per ottenere l'esecuzione non autorizzata del codice , così come altri indirizzi scoperti, suggeriscono che ShadowHummer possa essere probabilmente collegato con il gruppo di autori di minacce APT BARIUM, in precedenza legato agli incidenti relativi a ShadowPad e CCleaner, fra gli altri.
Questa nuova campagna è l'ennesimo esempio di quanto un attacco alla supply chain possa essere sofisticato e pericoloso oggi se condotto con una certa abilità".
Kaspersky ha comunque diramato alcune soluzioni che bloccano l'accesso al malware , che si possono trovare collegandosi direttamente al sito ufficiale:

Nessun commento

Powered by Blogger.