Gli esperti di Kaspersky Lab hanno scoperto che il tool Live Update di ASUS è stato utilizzato da malintenzionati per distribuire una backdoor. La software house russa ha stimato che il malware, denominato ShadowHammer, è stato installato su oltre un milione di dispositivi. L’azienda taiwanese non ha ancora avvisato gli utenti, ma ha promesso la pubblicazione di un comunicato ufficiale entro domani.
In base ai dati telemetrici raccolti da Kaspersky tramite le sue soluzioni di sicurezza, l’attacco ha avuto luogo tra giugno e novembre 2018. Ignoti cybercriminali, probabilmente gli stessi associati all’attacco contro CCleaner, hanno avuto accesso ai server che distribuiscono l’utility ASUS Live Update. Il tool, installato su PC desktop e notebook del produttore taiwanese, viene utilizzato per aggiornare BIOS, UEFI, driver e applicazioni, quindi si tratta di un software affidabile.
Una versione dell’utility è stata modificata con l’aggiunta di una backdoor e firmata con due certificati legittimi di ASUS. Questo genere di attacco viene definito “supply-chain”, in quanto i cybercriminali installano software o componenti durante la produzione, assemblaggio o distribuzione attraverso i canali ufficiali. Nel caso di ASUS hanno avuto accesso ai server usati per firmare i file con i certificati digitali.
La software house russa ha scoperto che nel codice era presente un elenco di oltre 600 indirizzi MAC, per cui si tratta di un attacco mirato. Quando viene trovata una corrispondenza tra l’indirizzo codificato e quello del dispositivo, l’utility modificata contatta un server remoto e scarica la backdoor. Kaspersky ha predisposto un sito per consentire agli utenti di verificare l’indirizzo MAC della scheda di rete.
ASUS ha ricevuto la segnalazione il 31 gennaio 2019 e incontrato un dipendente di Kaspersky il 14 febbraio. L’azienda taiwanese non ha tuttavia avvisato gli utenti, continuando ad usare uno dei certificati per un mese. Inoltre i certificati non sono stati revocati, quindi potrebbero essere ancora utilizzati per firmare i file. Tutti i prodotti antivirus di Kaspersky identificano e bloccano la versione infetta di ASUS Live Update.