יותר ממיליון מחשבי אסוס בסכנת הדבקה מנוזקה

עשרות אלפי מחשבים הודבקו בנוזקה שפעלה על תוכנת עדכון של מחשבי אסוס, כך לפי מעבדת קספרסקי.

המתקפה, שכונתה Operation ShadowHammer , היא מתקפה מסוג שרשרת אספקה על תוכנת העדכון במחשבי אסוס, והיא מאיימת על יותר ממיליון משתמשים ברחבי העולם. החוקרים ציינו כי "המתקפה בוצעה ברמת דיוק כירורגי".

על פי ענקית אבטחת המידע הרוסית, מדובר בקמפיין חדש של איום מתמשך (APT) – הפועל באמצעות מתקפה מסוג "שרשרת אספקה". החוקרים מצאו עוד כי גורם האיום מאחורי

Operation ShadowHammer תקף משתמשים של Asus Live Update Utility, באמצעות הזרקה של דלת אחורית. ההתקפה נערכה בין יוני לנובמבר 2018, לפחות, והתגלתה בינואר השנה.

קספרסקי

אחד מאפיקי ההדבקה המסוכנים והיעילים ביותר כיום

מתקפת שרשרת אספקה היא אחד מאפיקי ההדבקה המסוכנים והיעילים ביותר כיום, המנוצלת בתדירות גבוהה יותר במהלך השנים האחרונות במסגרת פעילויות מתקדמות, כפי שראינו עם ShadowPad או CCleaner . המתקפה מנצלת חולשה מסוימת במערכת המשמשת במחזור חיי מוצר, בתפר שבין אנשים, ארגונים, חומרים, ומשאבים אינטלקטואליים: בין אם מדובר בשלב הפיתוח הראשוני, או במשתמש הקצה. גם כאשר התשתית של יצרן מסוים מאובטחת, במתקפה שכזו פירצה אצל הספקים שלו מובילה לחבלה בשרשרת האספקה, ומשם –  לדליפת נתונים הרסנית ובלתי צפויה.

במסגרת ShadowHammer הותקפה תוכנת ASUS Live Update Utility כנקודת המוצא להתקפה. כלי זה, המותקן מראש ברוב מחשבי אסוס החדשים, משמש לצורך ביצוע עדכונים אוטומטיים של BIOS ,UEFI, דרייברים ואפליקציות. באמצעות תעודות דיגיטליות גנובות, ששימשו את אסוס כדי לבצע חתימה לקוד שהיא מפיצה, התוקפים הצליחו לחבל בגרסאות ישנות יותר של תוכנת אסוס, כשהם מצליחים להזריק אליהן את הנוזקה שלהם. הגרסאות הפגומות של הכלי נחתמו עם תעודות לגיטימיות, נשמרו והופצו בשרתי העדכון הרשמיים של אסוס – דבר שהפך אותן לבלתי נראות עבור רוב פתרונות ההגנה.

באמצעות פעולה זו, כל משתמש בתוכנת העדכון הנגועה עלול להפוך לקורבן. אך הגורם שמאחורי ShadowHammer התמקד בהשגת גישה למאות בודדות של משתמשים לגביהם היה לו מידע מוקדם. חוקרי קספרסקי חשפו כי כל קוד של דלת אחורית הכיל טבלה מקודדת של כתובות MAC – המזהה הייחודי של מתאמי רשת, המשמשים לצורך חיבור של מחשב לרשת.

ברגע שהדלת האחורית הופעלה במחשב הקורבן, היא בדקה את כתובת ה-MAC אל מול הטבלה המקודדת. אם הכתובת תאמה לאחד מהמספרים בטבלה, הנוזקה הורידה את השלב הבא של הקוד. אחרת, תוכנת העדכון הפרוצה לא ביצעה שום פעילות ברשת, דבר שאפשר לה להישאר נסתרת לזמן רב. החוקרים הצליחו לזהות יותר מ-600 כתובות MAC שכאלו, אשר הותקפו באמצעות יותר מ-230 דוגמיות ייחודיות של דלת אחורית עם shellcodes שונים.

דוגמה נוספת לרמת התחכום והסיכון שמייצרת התקפה על שרשרת האספקה

לפי חוקרי קספרסקי, "הגישה המודולרית והזהירות העודפת בהן נקטו בעת הפעלת הקוד, כדי למנוע חשיפה מקרית של הקוד, מצביעות על כך שהיה חשוב מאוד לתוקפים שמאחורי ההתקפה המתוחכמת להישאר בצללים, תוך שהם תוקפים מטרות מסוימות מאוד, ברמת דיוק כירורגי. ניתוח עומק טכני מראה כי מערך כלי הנשק של התוקפים הוא מתקדם מאוד, ומראה על יכולת פיתוח גבוהה מאוד בתוך הקבוצה".

חיפוש אחר קוד זדוני דומה, חשף תוכנה של שלושה ספקים נוספים באסיה, שנפרצו עם דלת אחורית בשיטות דומות מאוד. בקספרסקי דיווחו על הבעיה לאסוס ולספקים האחרים.

לדברי ויטאלי קמלוק, מנהל צוות המחקר והניתוח הגלובלי במעבדת קספרסקי, "הספקים שנבחרו מהווים מטרות אטרקטיביות מאוד עבור קבוצות APT, היכולות לנצל את בסיס הלקוחות העצום שלהם. לא ברור לחלוטין מה היה היעד הסופי של התוקפים, ואנו ממשיכים לחקור. הטכניקות שהיו בשימוש כדי להשיג הפעלה בלתי מורשית של קוד, וממצאים אחרים שנחשפו, מצביעים על כך ש-ShadowHammer כנראה קשור ל-BARIUM APT. גורם זה נקשר בעבר לאירועי ShadowPad ו-CCleaner. הקמפיין הנוכחי מהווה דוגמה נוספת לרמת התחכום והסיכון שמייצרת התקפה על שרשרת האספקה".

מאסוס נמסר בתגובה כי "מתקפות APT (ר"ת Advanced Persistent Threat) הן מתקפות המתרחשות בדרך כלל ביוזמה של מספר מדינות ספציפיות, ומתמקדות בדרך כלל בארגונים בינלאומיים או ישויות מסוימות ולא בצרכני הקצה. מחשבי אסוס מצוידים בכלי ה- Live Update מבית אסןס, כדי להבטיח שהמערכות מעודכנות תמיד בקושחה ובמנהלי ההתקן העדכניים ביותר של ASUS. במספר קטן של מכשירים הוטמע קוד זדוני המבצע התקפה מתוחכמת על שרתי ה- Live Update של החברה בניסיון לתקוף קבוצת משתמשים קטנה מאוד וספציפית".

"לאחר היוודע המקרה, שירות הלקוחות של אסוס הגיע אל המשתמשים המושפעים וכעת מספק להם סיוע, כדי להבטיח שסיכוני האבטחה יוסרו. כמו כן, אסוס הטמיעה תיקון בגרסה העדכנית של תכנת ה-Live Update (3.6.8), שהכילה מספר מנגנוני אבטחה ואימות, למניעת כל מניפולציה זדונית בתצורת עדכוני תכנה או באמצעים אחרים. בנוסף, החברה הטמיעה הצפנת end-to-end מוגברת ועדכנה את ארכיטקטורת תכנת ה- Server-to-end-user למניעת התקפות דומות שעלולות להתרחש בעתיד. החברה יצרה כלי אבחון מקוון לבדיקה של מערכות שהושפעו מההתקפה, וכמשנה זהירות החברה ממליצה למשתמשים להריץ את הכלי על מערכות ה- אסוס שלהם".

הכלי ניתן להורדה כאן