נחשפה מתקפת Operation ShadowHammer מסוג שרשרת אספקה על תוכנת העדכון במחשבי ASUS

מאת: מערכת Telecom News, 25.3.19, 19:36
 

ההתקפה המאיימת על מאות אלפי משתמשים ברחבי העולם ובוצעה ברמת דיוק כירורגי. היא השפיעה על יותר ממיליון משתמשים ברחבי העולם. איך זה עובד ומה מומלץ לארגונים לעשות?

מעבדת קספרסקי חשפה קמפיין של איום מתמשך (APT) הפועל באמצעות מתקפה מסוג "שרשרת אספקה". מחקר החברה מצא, שגורם האיום מאחורי Operation ShadowHammer תקף משתמשים של Asus Live Update Utility באמצעות הזרקה של דלת אחורית. ההתקפה נערכה בתקופה שבין יוני לנובמבר 2018 (לפחות). מומחי החברה מעריכים, שייתכן שההתקפה השפיעה על יוצר ממיליון משתמשים ברחבי העולם. 

מתקפת שרשרת אספקה היא אחד מאפיקי ההדבקה המסוכנים והיעילים ביותר כיום, שמנוצלת בתדירות גבוהה יותר במהלך השנים האחרונות במסגרת פעילויות מתקדמות, כפי שראינו עם ShadowPad או CCleaner.

ההתקפה מנצלת חולשה מסוימת במערכת המשמשת במחזור חיי מוצר, בתפר שבין אנשים, ארגונים, חומרים, ומשאבים אינטלקטואליים: בין אם מדובר בשלב הפיתוח הראשוני או במשתמש הקצה. גם כאשר התשתית של יצרן מסוים מאובטחת, במתקפה כזו פרצה אצל הספקים שלו מובילה לחבלה בשרשרת האספקה, ומשם לדליפת נתונים הרסנית ובלתי צפויה.

במסגרת ShadowHammer הותקפה תוכנת ASUS Live Update Utility כנקודת המוצא להתקפה. כלי זה, שמותקן מראש ברוב מחשבי ה-ASUS החדשים, משמש לצורך ביצוע עדכונים אוטומטיים של BIOS, UEFI, דרייברים ואפליקציות.

באמצעות תעודות דיגיטליות גנובות, ששימשו את ASUS כדי לבצע חתימה לקוד, שהיא מפיצה, התוקפים הצליחו לחבל בגרסאות ישנות יותר של תוכנת ASUS, כשהם מצליחים להזריק אליהן את הקוד הזדוני שלהם. הגרסאות הפגומות של הכלי נחתמו עם תעודות לגיטימיות, ונשמרו והופצו בשרתי העדכון הרשמיים של ASUS, דבר שהפך אותן לבלתי נראות עבור רוב פתרונות ההגנה.

למעשה, באמצעות פעולה זו כל משתמש בתוכנת העדכון הנגועה עלול להפוך לקורבן. אך הגורם, שמאחורי ShadowHammer, התמקד בהשגת גישה למאות בודדות של משתמשים, לגביהם היה לו מידע מוקדם. כפי שחוקרי החברה חשפו, כל קוד של דלת אחורית הכיל טבלה של מקודדת של כתובות MAC, שמזהה הייחודי של מתאמי רשת המשמשים לצורך חיבור של מחשב לרשת.

ברגע שהדלת האחורית הופעלה במחשב הקורבן, היא בדקה את כתובת ה-MAC אל מול הטבלה המקודדת. אם הכתובת תאמה לאחד מהמספרים בטבלה, הקוד הזדוני הוריד את השלב הבא של הקוד. אחרת, תוכנת העדכון הפרוצה לא ביצעה שום פעילות ברשת, דבר שאפשר לה להישאר נסתרת לזמן רב.

בסך הכל, מומחי אבטחה הצליחו לזהות יותר מ-600 כתובות MAC. אלו הותקפו באמצעות יותר מ-230 דוגמיות ייחודיות של דלת אחורית עם shellcodes שונים.

הגישה המודולרית והזהירות העודפת בהן נקטו בעת הפעלת הקוד,כדי למנוע חשיפה מקרית של הקוד, מצביעים על כך, שהיה חשוב מאוד לגורמים, שמאחורי ההתקפה המתוחכמת, להישאר בצללים, תוך שהם תוקפים מטרות מסוימות מאוד ברמת דיוק כירורגי. ניתוח עומק טכני מראה, שמערך הנשקים של התוקפים הוא מתקדם מאוד, והוא מראה על יכולת פיתוח גבוהה מאוד בתוך הקבוצה.

חיפוש אחר קוד זדוני דומה, חשף תוכנה של 3 ספקים נוספים באסיה, שנפרצו עם דלת אחורית בשיטות וטכניקות דומות מאוד. החברה דיווחה על הבעיה ל-Asus ולספקים האחרים.

כדי להימנע מנפילה כקורבן להתקפה ממוקדת מצד גורם איום מוכר או שאינו מוכר, חוקרי החברה ממליצים על הטמעת האמצעים הבאים:

• בנוסף לחובה להפעיל פתרון הגנה על נקודות קצה, יש להטמיע פתרון אבטחה ברמה ארגונית המזהה איומים מתקדמים בשלב מוקדם ברמת הרשת.
• לצורך זיהוי, חקירה ותיקון של אירועים ברמת נקודת הקצה, מומלץ על הטמעת פתרון EDR או התקשרות עם צוות תגובה מקצועי.
• מומלץ להטמיע עדכוני מודיעין איומים בתוך ה-SIEM ובבקרי אבטחה נוספים, כדי לקבל גישה לנתוני האיומים הרלוונטיים והעדכניים ביותר ולהתכונן להתקפות עתידיות. 

ויטאלי קמלוק, מנהל צוות המחקר והניתוח הגלובלי APAC של מעבדת קספרסקי: "הספקים שנבחרו מהווים מטרות אטרקטיביות מאוד עבור קבוצות APT היכולות לנצל את בסיס הלקוחות העצום שלהם. עדיין לא ברור לחלוטין מה היה היעד הסופי של התוקפים, ואנו עדיין חוקרים מי נמצא מאחורי ההתקפה. עם זאת, הטכניקות, שהיו בשימוש כדי להשיג הפעלה בלתי מורשת של קוד, וכן ממצאים אחרים שנחשפו, מצביעים על כך, ש-ShadowHammer, כנראה, קשור ל-BARIUM APT. גורם זה קושר בעבר לאירועי ShadowPad ו-CCleaner. הקמפיין הנוכחי מהווה דוגמא נוספת לרמת התחכום והסיכון, שמייצרת התקפה על שרשרת האספקה".
 
הדו"ח המלא - כאן.
בדיקה אם נפגעתם - כאן.