Fastweb

 ASUS, malware nell'aggiornamento colpisce 1 milione di utenti

Google Chrome Web & Digital #goocle #chrome uBlacklist, l'estensione di Chrome che blocca i siti indesiderati dai risutati di ricerca Troppi siti e forum indesiderati tra i vostri risultati Google? Ora potete metterli nella vostra black list
ISCRIVITI alla Newsletter
Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
 ASUS, malware nell'aggiornamento colpisce 1 milione di utenti FASTWEB S.p.A.
Malware ASUS
Web & Digital
Più di un milione di utenti vittime di un malware causato dall'aggiornamento annuale di ASUS. Ecco come controllare il vostro pc

La notizia di oggi è che alcuni hacker hanno aggiunto una backdoor su migliaia di computer ASUS utilizzando la piattaforma di aggiornamento del software aziendale.

Gli hacker hanno compromesso lo strumento di aggiornamento in tempo reale di ASUS per distribuire un malware a quasi 1 milione di utenti, lo scorso anno, secondo i risultati resi noti dai ricercatori di Kaspersky Lab. La notizia è stata segnalata per la prima volta dal magazine Motherboard. Le macchine ASUS accettavano il software contaminato perché gli aggressori erano in grado di firmarlo con un vero certificato ASUS (utilizzato per verificare la legittimità e l'affidabilità del codice). Sebbene la portata dell'attacco sia ampia, sembra che gli hacker stiano cercando 600 computer tra quelli attaccati, per colpire più in profondità.

Di che si tratta?

Kaspersky ha chiamato l'attacco ShadowHammer, che indica un possibile collegamento al malware ShadowPad utilizzato in altri importanti attacchi alla supply chain del software. Gli hacker hanno preso, in pratica, un vero aggiornamento ASUS del 2015 e lo hanno leggermente modificato prima di inviarlo agli utenti nella seconda metà del 2018. Kaspersky ha scoperto l'attacco a gennaio e fino ad allora ASUS non aveva comunicato nulla ai suoi clienti, né ha risposto ad una richiesta di commenti da parte di WIRED.
Secondo Kaspersky, ASUS sarebbe in procinto di indagare sull'incidente, ripulire i suoi sistemi e stabilire nuove difese.

Gli attacchi alla supply chain del software sono insidiosi, perché una volta che gli hacker stabiliscono la possibilità di creare aggiornamenti che la piattaforma riconosce come legittimi, diventa per loro semplice diffondere malware rapidamente.
Nel caso dell'incidente di ASUS, gli hacker hanno preso di mira più di 600 macchine. Hanno approfittato della portata di ASUS per diffondere il malware il più possibile.

"Come ogni attacco della supply chain, questo è molto fastidioso", afferma Costin Raiu, direttore del team di ricerca e analisi globale di Kaspersky. "È come lanciare una rete per cercare di catturare tutto il possibile e selezionare manualmente quello che interessa di più."

Ogni dispositivo digitale ha un identificatore univoco chiamato MAC address e il malware Asus è stato programmato per controllare gli indirizzi dei dispositivi infetti. Per le centinaia di migliaia di clienti ASUS i cui dispositivi non erano nella hit list degli hacker, il malware non avrebbe avuto alcun effetto; non era programmato per essere in grado di fare qualsiasi altra cosa. Se era in esecuzione su una macchina presa di mira, tuttavia, era programmato per chiamare un server malevolo e scaricare il payload della seconda fase per eseguire un attacco più profondo.

Per ora, Kaspersky dice di non avere un quadro completo di ciò che gli hacker avessero intenzione di fare sulle macchine prese di mira.

Chi è interessato?

Come detto, Kaspersky stima che il malware sia stato distribuito a circa 1 milione di macchine in totale. La maggior parte degli utenti ASUS non sperimenterà alcun effetto a lungo termine dell'attacco, ma resta da vedere quali sono esattamente gli impatti per le persone che possiedono una delle 600 macchine target.

L'elenco di circa 600 dispositivi di destinazione che il malware cercava comprende principalmente macchine Asus, come ci si aspetterebbe per un malware distribuito attraverso quel produttore. Ma Raiu nota che alcuni degli indirizzi MAC nella lista hanno prefissi che indicano dispositivi diversi da ASUS, realizzati quindi da un altro produttore. Non è chiaro il motivo per cui questi indirizzi MAC non ASUS siano stati inclusi nell'elenco; forse rappresentano un campione più ampio della lista dei desideri degli aggressori.

Quanto è cattivo?

Attacchi simili a questo hanno già causato il caos in passato, come nell'epidemia NotPeya del maggio 2017 e la compromissione di CCLeaner del giugno 2017. Kaspersky sospetta che l'incidente di ASUS sia collegato ad una serie di attacchi ShadowPad del 2017, per lo più sventati, nonché all'attatto riuscito ShadowPad avvenuto su CCLeaner. Il collegamento, però, non è ancora ben definito.

Raiu aggiunge che il gruppo che potrebbe essere alla base di tutti questi attacchi, noto come Barium, riscrive gli strumenti per ogni attacco di grandi dimensioni in modo che gli scanner non possano rilevarli cercando le sue vecchie firme di codice. Ma i ricercatori di Kaspersky vedono somiglianze nel modo in cui la backdoor di ASUS, la backdoor di CCleaner, e altre istanze di ShadowPad sono state progettate concettualmente. Cercano anche altri comandi coerenti che il gruppo utilizza nel suo codice attraverso campagne diverse, sebbene Kaspersky non riveli i dettagli di questi indicatori. Inoltre, l'attacco di CCleaner lancia anche una vasta rete alla ricerca di una popolazione più piccola di bersagli specifici.

"La cosa assolutamente incredibile di questi pirati è che cambiano il codice shell da un attacco all'altro", fa notare Raiu. "Il caso ASUS è diverso da ogni altro caso che abbiamo visto finora."

La verità è che una compromissione della supply chain potrebbe accadere a qualsiasi azienda, possibilità molto più verosimile, quando si colpisce un produttore di computer grande come ASUS.

26 marzo 2019

Fonte: wired.com

Ti piace
questo
articolo?
Iscriviti alla nostra Newsletter

Riceverai settimanalmente le notizie più
interessanti sul mondo della tecnologia!

Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
TAGS: #malware #sicurezza #asus

© Fastweb SpA 2019 - P.IVA 12878470157
ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.