Especialistas revelaram outro grande ataque supply chain na história; depois do ccleaner que infetou 2.3 milhões de utilizadores com uma backdoor em setembro de 2017.
Desta vez, foi a gigante de tecnologia ASUS — mais de 1 milhão de computadores foram comprimetidos graças a uma exploração bem sucedida no ASUS Software Update Server.
Um grupo state-sponsored hackers conseguiram explorar o ASUS Live automatic software update entre junho e novembro de 2018 e endereçaram atualizações maliciosas para instalar backdoors em mais de um milhão de computadores Windows em todo o mundo.
De acordo com os investigadores da Kaspersky Lab, que descobriram o ataque apelidado de Operation ShadowHammer, a Asus foi informada sobre o ataque em 31 de janeiro de 2019.
Depois de analisarem mais de 200 amostras de atualizações maliciosas, os investigadores descobriram que os hackers não queriam compriometer todos os utilizadores, mas apenas uma lista específica de individuos identificados por endereços MAC exclusivos, que eram codificados no malware.
“We were able to extract more than 600 unique MAC addresses from over 200 samples used in this attack. Of course, there might be other samples out there with different MAC addresses in their list,” researchers say.
Tal como no ataque relativo ao CCleaner e ShadowPad, o ficheiro malicioso foi assinado com certificados digitais ASUS legítimos para fazer com que parecesse uma atualização de software oficial da empresa e permanecessem indetetáveis por um longo tempo.
Os investigadores não associaram o ataque a nenhum grupo APT até ao momento.
“We [researchers] are not able to calculate the total count of affected users based only on our data; however, we estimate that the real scale of the problem is much bigger and is possibly affecting over a million users worldwide,” Kaspersky says.
A Symantec também relatou que identificou o malware em mais de 13 mil máquinas e detetadas pelo seu antivírus.
A maioria das vítimas que o Kaspersky detectou são da Rússia, Alemanha, França, Itália e Estados Unidos, embora o malware tenha infectado utilizadores em todo o mundo.
O Kaspersky notificou a ASUS e outras empresas de antivírus sobre a descoberta mesmo quando a investigação ainda estava a decorrer e num estado prematuro.
Além disso, a Kaspersky também lançou uma ferramenta automatizada para que todos os utilizadores possam verificar se estão comprimetidos com esta ameaça persistente.