A fronte di una analisi forense condotta da Kaspersky Lab è stato stimato che gli attaccanti avevano come obiettivo circa 600 specifici computer ma il malware potrebbe essere stato “consegnato” a più di un milione di utenti.
“We estimate this may have affected over 1 million computer users between June and Nov 2018. https://motherboard.vice.com/en_us/article/pan9wn/hackers-hijacked-asus-software-updates-to-install-backdoors-on-thousands-of-computers”
Secondo”Motherboard.vice.com” gli hacker hanno dirottato gli aggiornamenti del software ASUS per installare backdoor su migliaia di computer. ASUS ritiene che il malware si sia diffuso su migliaia di dispositivi attraverso il suo strumento di aggiornamento automatico del software compromesso”
L’obiettivo dell’attacco era indirizzare chirurgicamente il malware a indirizzi MAC specificatamente individuati. Per raggiungere questo obiettivo, gli autori dell’attacco avevano codificato con “hardcoded” un elenco di indirizzi MAC nei “trojanized samples” e questo elenco veniva utilizzato per identificare gli obiettivi effettivi di questa massiccia operazione di attacco chiamata “ShadowHammer“.“Siamo stati in grado di estrarre più di 600 MAC addresses unici da oltre 200 campioni utilizzati in questo attacco. Naturalmente, potrebbero esserci altri campioni con MAC addresses diversi nella loro lista.” Tutte le macchine con un indirizzo MAC diverso da quelli scelti e compromessi dagli hacker, mantengono la backdoor nei propri sistemi, ma risulterà essere inattiva, dormiente. Questo espediente permetterà in un futuro agli stessi criminali di poter compiere attivarle in un secondo momento e quindi compiere un attacco di portata ancor maggiore.
Sembrerebbe che gli attaccanti non abbiano avuto accesso all’intera infrastruttura ASUS, solo una parte dell’infrastruttura (Digital Signatures).
La stessa ricerca afferma che un attacco simile, in base alla tipologia e alle modalità, fosse già avvenuto nel 2017 con ShadowPad.
Il malware
I ricercatori hanno analizzato la backdoor dedicata di Asus per gli aggiornamenti “ASUS Live Update Utility” e hanno scoperto che il sistema veniva compromesso con una firma che apparentemente veniva riconosciuta come valida e simile a quella della casa madre “ASUS certificate.” Tale firma era presente in più di 600 dispositivi e nel momento in cui si scaricava l’aggiornamento si veniva reindirizzati su un server C&C server” , così che si avviasse un download di una “second-stage backdoor”.
La backdoor malevola è stata inserita nei server dedicati agli aggiornamenti mediante un’azione malevola di hijacking, attraverso un file dannoso tra gli update software ufficiali di Asus, camuffandolo da autentico mediante un certificato digitale legittimo. Una volta attivato l’aggiornamento compromesso la backdoor attiva un server C2 di comando e controllo gestito dagli aggressori stessi per scaricare altri malware sui sistemi infetti.
La società sembrerebbe non aver ravvisato la necessità di divulgare la notizia ritenendo che solo i MAC address presenti nell’elenco potessero essere coinvolti in questo specifico attacco.