O CCleaner hack foi um dos maiores ataques da cadeia de suprimentos que infectou mais de 2,3 milhões de usuários com uma versão backdoor do software em setembro de 2017.
Pesquisadores de segurança revelaram outro grande ataque na cadeia de suprimentos que comprometeu mais de 1 milhão de computadores fabricados pela gigante de tecnologia ASUS, de Taiwan.
Um grupo de hackers patrocinados pelo Estado no ano passado conseguiu sequestrar o servidor de atualização de software automático ASUS Live entre junho e novembro de 2018 e enviou atualizações maliciosas para instalar backdoors em mais de um milhão de computadores Windows em todo o mundo.
De acordo com pesquisadores de segurança cibernética da empresa russa Kaspersky Lab, que descobriu o ataque e o apelidou de Operation ShadowHammer, a Asus foi informada sobre o ataque à cadeia de suprimentos em andamento em 31 de janeiro de 2019.
Depois de analisar mais de 200 amostras de atualizações maliciosas, os pesquisadores descobriram que os hackers não queriam segmentar todos os usuários, mas apenas uma lista específica de usuários identificados por seus endereços MAC exclusivos, que eram codificados no malware.
“Conseguimos extrair mais de 600 endereços MAC exclusivos de mais de 200 amostras usadas neste ataque. É claro que pode haver outras amostras com endereços MAC diferentes em sua lista”, conforme os pesquisadores.
Como os hacks CCleaner e ShadowPad, o arquivo malicioso foi assinado com certificados digitais ASUS legítimos para fazer com que parecesse uma atualização de software oficial da empresa e permanecer indetectável por um longo tempo.
Pesquisadores não atribuíram o ataque a nenhum grupo APT neste momento, mas certas evidências ligaram o último ataque ao incidente do ShadowPad a partir de 2017, que a Microsoft atribuiu aos atores do BARIUM APT atrás do backdoor do Winnti.
“Recentemente, nossos colegas da ESET escreveram sobre outro ataque na cadeia de suprimentos, no qual a BARIUM também estava envolvida, e acreditamos que está conectada a este caso também”, conforme os pesquisadores.
De acordo com o Kaspersky, a versão backdoored do ASUS Live Update foi baixada e instalada por pelo menos 57.000 usuários do Kaspersky.
“Nós [pesquisadores] não somos capazes de calcular a contagem total de usuários afetados com base apenas em nossos dados; no entanto, estimamos que a escala real do problema é muito maior e está possivelmente afetando mais de um milhão de usuários em todo o mundo”, diz Kaspersky.
A Symantec disse ao vice que a empresa identificou o malware em mais de 13 mil máquinas rodando seu software antivírus.
A maioria das vítimas que o Kaspersky detectou são da Rússia, Alemanha, França, Itália e Estados Unidos, embora o malware tenha infectado usuários de todo o mundo.
O Kaspersky notificou a ASUS e outras empresas de antivírus do ataque enquanto a investigação sobre o assunto ainda está em andamento.
A empresa de antivírus também lançou uma ferramenta automatizada para os usuários verificarem se eles foram especificamente alvos da ameaça persistente avançada do ShadowHammer.
Fonte: The Hacker News