През 2017 десетки потребители свалят компрометирана версия на популярния сервизен софтуер за Windows CCleaner в операция, станала известна като Shadowpad. Кампанията е класически пример за т.нар. „атака към линията за доставки“ (supply chain attack), при които вътрешни активи на компанията са компрометирани с цел инфектиране на нейните клиенти и потребители. Подобен тип атаки са трудни за регистриране, поради това, че атакуващата страна използва като начален вектор за своите действия доверена страна.

Вчера компанията за информационна сигурност и защита Kaspersky Lab, алармира за новооткрита подобна атака, а жертвите ѝ могат да са десетки хиляди. ShadowHammer, както е името ѝ, засяга собствениците на компютри на тайванската компания ASUS.

„През януари 2019, ние открихме сложна атака към веригата за доставки, засягаща ASUS Live Update Utility. Атаката се е състояла между юни и ноември 2018 и според нашата телеметрия, тя засяга огромен брой потребители“, уведомяват Kaspersky.

ASUS Live Update Utility е предварително инсталиран инструмент на машини на тайванската компания, която помага за автоматичното обновление на различни компоненти на компютъра, като драйверите, BIOS и приложенията. Броят на засегнатите в Shadowhammer не е лесно да бъде определен, тъй като кампанията явно не цели атака към всички потребители на ASUS. Kaspersky откриват в троянизираните версии на инструмента вграден списък с MAC адреси, които са цел на атакуващата страна. След активацията си, инструментът проверява дали адресът на машината е включен във въпросния списък и ако не е, той не извършва зловредна дейност.

Що се отнася до причините, поради които Shadowhammer остава под радара на компаниите за сигурност, то те се крият в това, че зловредните версии идват подписани с легитимен цифров сертификат и се доставят от официалните сървъри за това на ASUS.

По отношение на приписването на отговорност за атаката, Kaspersky вярват, че вероятно става дума за APT (advanced persistent threat) групировка с името BARIUM, която може да има връзка с атаката към CCleaner.

Kaspersky Lab са изготвили специална страница, на която може да проверите дали адреса на мрежовия адаптер на компютъра ви е в списъка с набелязаните машини, или да използвате подготвения от тях инструмент, създаден със същата цел.

Kaspersky Lab съветват, ако машината ви е станала жертва на атаката, да се свържете на специално изготвен за целта имейл адрес, на който може да ви бъде помогнато.