Nel nostro primo post riguardante l’operazione ShadowHammer, vi avevamo promesso di raccontarvi maggiori dettagli. Sebbene le indagini siano ancora in corso, i nostri ricercatori sono pronti a parlare delle novità in merito a questo attacco così complesso alla supply chain.
La portata dell’operazione
Come abbiamo già accennato, ASUS non è stata l’unica compagnia nel mirino. Analizzando meglio il caso, i nostri esperti hanno individuato altri esemplari che utilizzavano algoritmi simili. Come è avvenuto in ASUS, gli esemplari di malware utilizzavano binari firmati digitalmente e di tra altri vendor asiatici:
- Electronics Extreme, autori del gioco di sopravvivenza agli zombie Infestation: Survivor Stories;
- Innovative Extremist, una compagnia che fornisce servizi a infrastrutture web e IT ma che operava anche nel settore dello sviluppo di videogiochi;
- Zepetto, l’azienda sudcoreana che ha sviluppato il gioco Point Blank.
Secondo i nostri ricercatori, i cybercriminali hanno ottenuto accesso al codice sorgente dei progetti delle vittime e hanno iniettato i malware durante la fase di compilazione del progetto, il che vuol dire che si trovavano all’interno della rete di queste compagnie. Tutto ciò ci ricorda un attacco di cui abbiamo informato un anno fa: l’incidente CCleaner.
Inoltre, i nostri esperti hanno identificato altre tre vittime: un’altra azienda di videogiochi, una conglomerata e una compagnia farmaceutica, tutte in Corea del Sud. Per il momento non possiamo fornire altri dettagli sulle vittime, in quanto ci troviamo ancora nella fase di notifica dell’attacco alle aziende coinvolte.
Gli obiettivi finali
Nei casi di Electronics Extreme, Innovative Extremist, and Zepetto, il software infetto ha portato sui sistemi delle vittime un payload piuttosto semplice, che è stato in grado di raccogliere informazioni quali username, specifiche dei computer e versioni del sistema operativo. Può essere utilizzato anche per scaricare un payload dannoso dai server C&C ma, a differenza del caso di ASUS, l’elenco delle potenziali vittime non è limitato a una lista di indirizzi MAC.
Va detto che l’elenco di 600 e oltre indirizzi MAC non limitava gli obiettivi a quei 600 (e oltre) obiettivi coinvolti: almeno uno di essi appartiene a un adattatore Ethernet virtuale e tutti gli utenti di questo dispositivo condividono lo stesso indirizzo MAC.
Per maggiori dettagli tecnici, potete leggere il nostro post su Securelist.
Come evitare di essere vittima di un attacco alla supply chain
L’elemento in comune tra tutti questi casi è che i cybercriminali erano in possesso di certificati validi e hanno compromesso gli ambienti di sviluppo delle vittime. Per questo motivo, i nostri esperti consigliamo ai vendor di software di adottare un’altra procedura per la loro produzione di software, procedura che vada alla ricerca di potenziali iniezioni di malware all’interno dei software anche dopo la firma digitale del codice.
Per evitare attacchi di questo tipo, bisogna ricorrere a threat hunter con esperienza e noi abbiamo ciò che fa al caso vostro. Mediante il nostro servizio Targeted Attack Discovery, i nostri esperti vi aiuteranno a identificare l’eventuale attività cybercriminale e di spionaggio informatico presente nella vostra rete, e a capire i motivi alla base degli incidenti e le possibili cause. Inoltre, potrete usufruire di Kaspersky Managed Protection, un servizio completo e continuo di monitoraggio e analisi dei dati delle cyberminacce. Per maggiori informazioni su come i nostri analisti della sicurezza individuano le minacce avanzate, potete visitare la nostra pagina dedicata a Kaspersky Threat Hunting.