מעבדת קספרסקי חשפה קמפיין חדש של איום מתמשך (APT) הפועל באמצעות מתקפה מסוג "שרשרת אספקה". מחקר מעבדת קספרסקי מצא כי גורם האיום מאחורי Operation ShadowHammer תקף משתמשי Asus Live Update Utility באמצעות הזרקה של דלת אחורית. ההתקפה נערכה בתקופה שבין יוני לנובמבר 2018 (לפחות). מומחי מעבדת קספרסקי מעריכים כי ייתכן שההתקפה השפיעה על יותר ממיליון משתמשים ברחבי העולם.

מתקפת שרשרת אספקה היא אחד מאפיקי ההדבקה המסוכנים והיעילים ביותר כיום, המנוצלת בתדירות גבוהה יותר במהלך השנים האחרונות במסגרת פעילויות מתקדמות – כפי שראינו עם ShadowPad או CCleaner. ההתקפה מנצלת חולשה מסוימת במערכת המשמשת במחזור חיי מוצר, בתפר שבין אנשים, ארגונים, חומרים, ומשאבים אינטלקטואליים: בין אם מדובר בשלב הפיתוח הראשוני או במשתמש הקצה. גם כאשר התשתית של יצרן מסוים מאובטחת, במתקפה שכזו פירצה אצל הספקים שלו מובילה לחבלה בשרשרת האספקה, ומשם לדליפת נתונים הרסנית ובלתי צפויה.

במסגרת ShadowHammer הותקפה תוכנת ASUS Live Update Utility כנקודת המוצא להתקפה. כלי זה, המותקן מראש ברוב מחשבי ה-ASUS החדשים, משמש לצורך ביצוע עדכונים אוטומטיים של BIOS, UEFI, דרייברים ואפליקציות. באמצעות תעודות דיגיטליות גנובות ששימשו את ASUS כדי לבצע חתימה לקוד שהיא מפיצה, התוקפים הצליחו לחבל בגרסאות ישנות יותר של תוכנת ASUS, כשהם מצליחים להזריק אליהן את הקוד הזדוני שלהם. הגרסאות הפגומות של הכלי נחתמו עם תעודות לגיטימיות, ונשמרו והופצו בשרתי העדכון הרשמיים של ASUS – דבר שהפך אותן לבלתי נראות עבור רוב פתרונות ההגנה.

קרא עוד:  אפל השיקה את macOS Catalina, עם גישה למשחקי הארקייד - וללא iTunes

למעשה, באמצעות פעולה זו כל משתמש בתוכנת העדכון הנגועה עלול להפוך לקורבן. אך הגורם שמאחורי ShadowHammer התמקד בהשגת גישה למאות בודדות של משתמשים, לגביהם היה לו מידע מוקדם. כפי שחוקרי מעבדת קספרסקי חשפו, כל קוד של דלת אחורית הכיל טבלה של מקודדת של כתובות MAC –המזהה הייחודי של מתאמי רשת המשמשים לצורך חיבור של מחשב לרשת. ברגע שהדלת האחורית הופעלה במחשב הקורבן, היא בדקה את כתובת ה-MAC אל מול הטבלה המקודדת. אם הכתובת תאמה לאחד מהמספרים בטבלה, הקוד הזדוני הוריד את השלב הבא של הקוד. אחרת, תוכנת העדכון הפרוצה לא ביצעה שום פעילות ברשת, דבר שאפשר לה להישאר נסתרת לזמן רב. בסך הכל, מומחי אבטחה הצליחו לזהות יותר מ-600 כתובות MAC. אלה הותקפו באמצעות יותר מ-230 דוגמיות ייחודיות של דלת אחורית עם shellcodes שונים.

הגישה המודולארית והזהירות העודפת בהן נקטו בעת הפעלת הקוד, כדי למנוע חשיפה מקרית של הקוד, מצביעים על כך שהיה חשוב מאוד לגורמים שמאחורי ההתקפה המתוחכמת להישאר בצללים, תוך שהם תוקפים מטרות מסוימות מאוד ברמת דיוק כירורגי. ניתוח עומק טכני מראה כי מערך הנשקים של התוקפים הוא מתקדם מאוד, והוא מראה על יכולת פיתוח גבוהה מאוד בתוך הקבוצה.

חיפוש אחר קוד זדוני דומה, חשף תוכנה של שלושה ספקים נוספים באסיה אשר נפרצו עם דלת אחורית בשיטות וטכניקות דומות מאוד. מעבדת קספרסקי דיווחה על הבעיה ל-Asus ולספקים האחרים.

קרא עוד:  הטאבלט CHUWI Hi8 SE מציע מפרט מפתיע ב-62 דולרים

"הספקים שנבחרו מהווים מטרות אטרקטיביות מאוד עבור קבוצות APT אשר יכולות לנצל את בסיס הלקוחות העצום שלהם. עדיין לא ברור לחלוטין מה היה היעד הסופי של התוקפים, ואנו עדיין חוקרים מי נמצא מאחורי ההתקפה. עם זאת, הטכניקות שהיו בשימוש כדי להשיג הפעלה בלתי מורשת של קוד, וכן ממצאים אחרים שנחשפו, מצביעים על כך ש-ShadowHammer כנראה קשור ל-BARIUM APT. גורם זה קושר בעבר לאירועי ShadowPad ו-CCleaner. הקמפיין הנוכחי מהווה דוגמא נוספת לרמת התחכום והסיכון שמייצרת התקפה על שרשרת האספקה", אמר ויטאלי קמלוק, מנהל צוות המחקר והניתוח הגלובלי APAC של מעבדת קספרסקי.

*הודעה לעיתונות

-פרסומת-
מדור ההודעות לעיתונות של האתר נותן במה לחדשות ולהכרזות המתרחשות בשוק הישראלי. זהו שירות לציבור קוראי האתר והכתבות פורסמו כלשונן וככתבן. אין האתר אחראי על תוכן הכתבה והוא אינו קשור או מושפע מכך.