Backdoor ontdekt in ASUS Live Update Utility

Een nieuw ontdekte cyberaanval heeft in de tweede helft van 2018 een half miljoen professionals in gevaar gebracht. De aanval wordt ShadowHammer genoemd en trof gebruikers van ASUS Live Update Utility, een updatetool voor systemen van ASUS.

Het probleem is ontdekt door Kaspersky Lab, dat het probleem heeft gemeld bij ASUS. De cybercriminelen achter ShadowHammer hebben zich gericht op ASUS Live Update Utility als eerste infectiebron. Dit is een hulpprogramma voor automatische BIOS-, UEFI-, drive- en applicatie-updates voor ASUS-computers. Met behulp van gestolen digitale certificaten die ASUS gebruikt om legitieme binaire bestanden te ondertekenen, hebben de aanvallers hun eigen kwaadaardige code in oudere versies van ASUS-software geïnjecteerd. Tot Trojan omgebouwde versies van het hulpprogramma zijn ondertekend met legitieme certificaten en vervolgens gehost op en gedistribueerd vanaf officiële ASUS-updateservers. Hierdoor waren ze onzichtbaar voor verreweg de meeste beveiligingsoplossingen.

Gericht op enkele honderden specifieke gebruikers

Kaspersky Lab meldt dat alle 500.000 gebruikers van het ASUS-hulpprogramma in theorie slachtoffer konden worden. De aanvallers richtten zich met hun aanval echter op enkele honderden bewust geselecteerde gebruikers. Zo vergelijk de malware het MAC-adres van geïnfecteerde systemen met een lijst opgesteld door de aanvallers. Dit is een uniek adres dat het mogelijk maakt individuele systemen te identificeren. Indien het MAC-adres op deze lijst voorkwam, werd aanvullende malware geïnstalleerd om het doelwit aan te vallen. De lijst bevat in totaal ruim 600 MAC-adressen.

Een supply chain-cyberaanval is volgens het beveiligingsbedrijf één van de gevaarlijkste en meest effectieve infectiemethoden. De aanvalsmethode wordt steeds vaker toegepast bij geavanceerde operaties en dook onder andere op bij aanvallen op gebruikers van ShadowPad en CCleaner. Veel grote bedrijven hebben hun beveiliging de afgelopen jaren fors opgeschroefd, waardoor zij moeilijker binnen te dringen zijn. Leveranciers hanteren vaak een lager veiligheidsniveau, waardoor zij als springplank gebruikt kunnen worden om toegang te verkrijgen tot systemen van een groot bedrijf.

Lange tijd onopgemerkt

Doordat de malware slechts op enkele honderden bewust geselecteerde machines daadwerkelijk netwerkverkeer genereert, kon de malware lange tijd onopgemerkt blijven. De 600 geselecteerde MAC-adressen zijn volgens Kaspersky Lab aangevallen door meer dan 230 unieke backdoor-samples met verschillende shellcodes.

Kaspersky Lab wijst op de geavanceerde werkwijze van de malware. De modulaire aanpak plus de extra voorzorgsmaatregelen ter voorkoming van code- en datalekkage, suggereren dat het voor de cyberaanvallers van groot belang was dat de zeer precieze aanval op uiterst specifieke doelwitten niet zou worden gedetecteerd. Uit technische analyse blijkt daarnaast dat het arsenaal van de cybercriminelen zeer geavanceerd is. Dat onderstreept het hoge ontwikkelingsniveau van deze hackers, stelt Kaspersky.

Ook andere bedrijven geïnfecteerd

De zoektocht naar vergelijkbare malware heeft onthuld dat software van drie andere aanbieders in Azië met vergelijkbare backdoors is geïnfecteerd. "De geselecteerde leveranciers zijn extreem aantrekkelijke doelen voor APT-groepen die misbruik willen maken van aanzienlijke klantenbestanden", zegt Jornt van der Wiel, security-expert bij Kaspersky Lab. "Het is nog niet helemaal helder wat het uiteindelijke doel van de aanvallers was. We zijn nog volop in onderzoek wie er precies achter de aanval zit. De gebruikte technieken voor het ongeautoriseerd uitvoeren van code én andere ontdekkingen wijzen erop, dat ShadowHammer waarschijnlijk is gerelateerd aan de BARIUM APT. Dat wordt onder andere in verband gebracht met ShadowPad en CCleaner. Deze nieuwe cyberdreiging laat weer eens zien hoe verfijnd en gevaarlijk een slimme supply-chain-aanval tegenwoordig kan zijn."

Tijdens de jaarlijkse Security Analyst Summit 2019 in Singapore van 9 tot 11 april geeft Kaspersky Lab volledig inzage in alle bevindingen rondom operatie ShadowHammer. Wel stelt het bedrijf voor klanten van Kaspersky Intelligence Reporting Service alvast een onderzoeksrapport over ShadowHammer beschikbaar. Op Securelist wordt daarnaast in een blog een samenvatting gegeven van de aanval. Ook is hier een tool te vinden om na te gaan of de aanval van toepassing is op bepaalde apparatuur.