Una campagna di cybercrime "chirurgica" che potrebbe aver potenzialmente coinvolto un milione di utenti in tutto il mondo che usano i pc Asus. A segnalarla Kaspersky Lab. Gli autori dell'operazione ShadowHammer hanno preso di mira gli utenti con Asus Live Update Utility, strumento di aggiornamento fornito dalla casa madre: hanno introdotto una backdoor all'interno, cioè una entrata di servizio, grazie alla quale hanno inserito un codice malevolo. L'operazione è durata "almeno da giugno a novembre 2018".
"Gli attacchi hanno come primario obiettivo organizzazioni o entità internazionali anziché i consumatori", è il commento di Asus. "Una quantità limitata di dispositivi - spiega - è stata impattata con un codice maligno attraverso un attacco sofisticato sui server di Live Update, nel tentativo di colpire un gruppo di utenti molto piccolo e specifico. Il servizio clienti Asus ha contattato gli utenti interessati e fornito assistenza al fine di eliminare qualunque rischio di sicurezza". L'azienda spiega inoltre di aver implementato una correzione nell'ultima versione del software Live Update, introdotto meccanismi di verifica della sicurezza "per impedire qualsiasi manipolazione dannosa sotto forma di aggiornamenti software o altri mezzi e implementato un meccanismo di crittografia end-to-end". Infine, Asus ha creato "uno strumento diagnostico online per verificare i dispositivi interessati e incoraggia gli utenti a eseguirlo in modo precauzionale" disponibile a quesato link
Il malware, spiega Kasperky Lab, "avrebbe potuto infettare tutti gli utilizzatori della utility, ma gli autori della minaccia hanno preferito concentrarsi su alcune centinaia di utenti sui quali evidentemente avevano già informazioni raccolte in precedenza". "Per gli autori di questo attacco sofisticato - aggiunge - era importante passare inosservati mentre colpivano alcuni obiettivi specifici con una precisione che potrebbe essere definita chirurgica".
Secondo l'azienda di sicurezza russa ad avere sul proprio computer la versione malevola di Asus Live Update sono circa 57 mila utenti un numero che potrebbe crescere fino a toccare quota un milione. Tra i paesi coinvolti, in primo luogo la Russia, poi Germania, Francia e Italia. Gli hacker dell'operazione 'ShadowHammer' sarebbero stati interessati, in particolare, a determinati utenti individuati tramite il Mac (Media Access Control) cioè un indirizzo di dodici cifre che serve ad identificare in maniera precisa ogni scheda di rete presente nel pc. La backdoor dei cyberciminali una volta scaricata su un pc con l'indirizzo Mac preso di mira si collega ad un server sotto il controllo degli hacker per installare a sua volta un ulteriore codice malevolo. Fino ad ora i computer finiti in questo giro sarebbero circa 600.
La ricerca di malware simili ha rivelato la presenza di software di tre altre aziende in Asia, tutti con backdoor installate con metodi e tecniche molto simili. Kaspersky Lab ha segnalato il problema ad Asus e alle altre aziende. "Non è ancora molto chiaro quale fosse l'obiettivo finale di questi attaccanti e stiamo ancora cercando di capire chi si cela davvero dietro questa operazione. In ogni caso, le tecniche impiegate per ottenere l'esecuzione non autorizzata del codice, così come altri indizi scoperti, suggeriscono che ShadowHammer possa essere probabilmente collegato con il gruppo di autori di minacce APT BARIUM, in precedenza legato agli incidenti relativi a ShadowPad e CCleaner, fra gli altri", ha commentato Vitaly Kamluk, Director of Global Research and Analysis Team, APAC, presso Kaspersky Lab.
