Вредоносные обновления для программ ASUS от APT-группы ShadowHammer

Благодаря одной из наших новейших технологий, способной выявлять атаку через цепочку поставок, эксперты «Лаборатории Касперского» обнаружили, вероятно, один из крупнейших инцидентов такого рода (помните историю с CCleaner? В этот раз масштабы еще больше). Киберпреступники добавили бэкдор в утилиту ASUS Live Update, которая доставляет обновления BIOS, UEFI и ПО на ноутбуки и настольные компьютеры ASUS, а затем распространяли модифицированную программу через официальные каналы.

Превращенная в троян утилита была подписана легитимным сертификатом и размещена на официальном сервере обновлений ASUS, что позволило ей долгое время оставаться незамеченной. Преступники позаботились даже о том, чтобы размер у вредоносной утилиты был точно таким же, как у настоящей.

Согласно нашей статистике, более 57 000 пользователей продуктов «Лаборатории Касперского» установили утилиту с бэкдором. Общее же число жертв, вероятно, составляет порядка миллиона. Однако группировку, стоящую за этой атакой, весь миллион не интересует: они нацелились на 600 определенных MAC-адресов, хэши которых были зашиты в различные версии утилиты. Мы сделали специальный инструмент, при помощи которого вы можете проверить, нет ли вашего MAC-адреса в списке целей. Он доступен на странице https://shadowhammer.kaspersky.com/.

Расследуя атаку, мы обнаружили, что те же самые техники использовались и для заражения ПО трех других производителей. Разумеется, мы немедленно уведомили ASUS и другие компании об атаке. На настоящий момент все решения «Лаборатории Касперского» обнаруживают и блокируют модифицированные злоумышленниками утилиты, однако мы все же рекомендуем вам обновить ASUS Live Update Utility, если вы ею пользуетесь. Расследование пока продолжается.

Если вам интересны подробности крупнейшей в истории атаки через цепочку поставок (технические нюансы, индикаторы компрометации, кто стал жертвами и так далее) и нужны советы, как защитить себя от подобных рисков, рекомендуем посетить SAS 2019 — самую жаркую конференцию по безопасности в мире, которая начнется 8 апреля в Сингапуре. Там APT-группировке ShadowHammer мы посвятим отдельный доклад – и поведаем о ней много интересных подробностей. Билеты почти распроданы, так что советуем поторопиться.

Впрочем, есть и другой вариант — после начала SAS мы опубликуем полный отчет о расследовании на сайте securelist.ru. Следите за новостями!