Un nuovo attacco informatico ha colpito più di un milione di dispositivi ASUS nel mondo. La ben nota azienda produttrice di antivirus Kaspersky Lab ha scoperto, grazie a una loro nuova tecnologia, che l’ASUS Live Update utility ha fornito agli utenti un falso aggiornamento, certificato ASUS, fornito in realtà dagli hacker stessi.
Operazione ShadowHammer
L’attacco ShadowHammer funziona seguendo la supply-chain, ossia installa i software maligni direttamente durante produzione, assemblaggio, o tramite aggiornamenti certificati. In questo caso, l’hacker ha modificato l’ASUS Live Update, che distribuisce BIOS, UEFI e altri update a laptop e desktop marchiati ASUS, aggiungendoci una backdoor.
Il certificato legittimo è il dato che sconvolge. Grazie a esso è stato possibile hostare il virus nei server ufficiali ASUS, rimanendo lì – e mai analizzato – per mesi. Il software maligno è stato infatti distribuito 5 mesi prima della sua scoperta da parte di Kaspersky, avvenuta il 29 gennaio.
L’azienda russa ha poi contattato ASUS, addirittura hanno tenuto un meeting il 14 febbraio, ma nonostante ciò l’azienda taiwanese non ha agito per informare i propri utenti. Non solo, essa avrebbe anche negato che il server fosse stato compromesso. The Verge ha però contattato ASUS, la quale ha dichiarato che rilascerà un comunicato ufficiale oggi pomeriggio.
Un attacco diffuso e silenzioso
“Non solo ASUS, ma anche altre tre aziende sono state vittime dell’hacker creatore di ShadowHammer. Questo attacco mostra che il modello di sicurezza che usiamo, basato sui certificati dei nomi di produttori noti, non garantisce la massima sicurezza dai malware.”
Queste le affermazioni del direttore del Global Research and Analysis Team di Kaspersky Lab, Vitaly Kamluk. Parole che si aggiungono a quelle fornite da Kaspersky stessa in una lunga intervista a Motherboard.
“Secondo le nostre statistiche, oltre 57.000 utenti Kaspersky hanno installato l’utility con backdoor integrata. Le stime totali, però, vanno oltre il milione di persone colpite da ShadowHammer. I cybercriminali, in realtà, hanno preso di mira soltanto 600 indirizzi MAC specifici, per i quali gli hash sono stati hardcoded in differenti versioni del software.”
Dunque, soltanto 600 PC saranno ulteriormente colpiti da altri malware una volta contattati dalla backdoor. Symantec, azienda statunitense concorrente di Kaspersky, ha confermato le stime totali dell’azienda russa, aggiungendo che sono 13.000 gli utenti Symantec colpiti.
Le percentuali
Kaspersky ha poi analizzato poi la provenienza degli utenti infettati: il 18% sono russi, 16% tedeschi, 13% francesi, 7% italiani, circa 6% gli americani, etc. Per controllare se siete stati colpiti da ShadowHammer, Kaspersky ha messo a disposizione un tool molto utile online. Con esso, potrete verificare se il vostro indirizzo MAC è tra quelli bersagliati dal virus.
Per rimanere informati sul mondo nerd, continuate a seguirci sul nostro sito DrCommodore.it e su Facebook, Instagram, Telegram, YouTube, Discord, Steam e Twitch.