Os investigadores da Skylight Cyber ​​divulgaram a lista de 600 endereços MAC usados na Operação ShadowHammer para atingir clientes da gigante tecnológica ASUS.

A Skylight Cyber ​​divulgou a lista de 583 endereços MAC usados ​​pelos hackers por trás da Operação ShadowHammer que atingiu os clientes da ASUS.

Mais de 1 milhão de utilizadores da ASUS podem ter sido impactados por um supply-chain attack que utilizou o software ASUS Live Update para injetar um backdoor em sistemas da ASUS. Este foi o maior ataque desta linha depois do supply-chain attack do ccleaner, que infetou 2.3 milhões de utilizadores com uma backdoor em setembro de 2017.

A campanha foi descoberta pelos especialistas da Kaspersky Lab. Ela decorreu entre junho e novembro de 2018, mas os especialistas apenas a descobriram em janeiro de 2019.

O Kaspersky lançou uma ferramenta para permitir que os utilizadores determinem se foram impactados pelo ataque.

Por outro lado, os investigadores da Skylight Cyber conseguiram extrair os endereços MAC usados pelos atacantes da ferramenta offilne lançada pela Kaspersky através de engenharia reversa.

A lista completa dos endereços MAC incluídos no executável continha 619 salt hashes-

Os especialistas usaram um servidor Amazon (uma instância do Amazon AWS p3.16xlarge com oito GPUs NVIDIA V100 Tesla 16GB) e uma versão modificada da ferramenta HashCat para brute-force dos endereços MAC. Eles foram obtidos em menos de uma hora.

 

“Even with all of those strategies in place, brute forcing a single prefix was going to take us ~3 hours on our modest hardware. With a narrowed down list of around 1300 prefixes, that meant 162.5 days, a tad bit more than we would have liked.” reads the post published by the experts.

“Enter Amazon’s AWS p3.16xlarge instance.
These beasts carry eight (you read correctly) of NVIDIA’s V100 Tesla 16GB GPUs. As Al Pacino once said – “Say hello to my little friend!” 🙂
The entire set of 1300 prefixes was brute-forced in less than an hour.”

 

Especialistas do Qihoo 360 também analisaram a lista de endereços MAC usada no ataque da ASUS e publicaram um gráfico que detalha quais os fornecedores de interface de rede (NIC) envolvidos no ataque. A maioria dos NICs pertence à ASUS, Intel, AzureWave e LiteOn.

 

Os investigadores da Kaspersky atribuem os ataques ao grupo BARIUM APT, o mesmo grupo por trás dos ataques ShadowPad e CCleaner.

Abaixo a distribuição geográfica das vítimas da Operação Shadowhammer.
Aos utilizadores que encontrarem o seu endereço MAC na lista é recomendado realizarem uma   redefinição de fábrica para limpar todo o sistema.

A ASUS também desenvolveu uma ferramenta de diagnóstico de segurança on-line que permite aos utilizadores verificar se os seus computadores foram afetados pelo ataque ShadowHammer.