ShadowHammer

Cyberaanval ShadowHammer: dit is wat we weten

- 26 March 2019

Kaspersky Lab heeft een nieuwe cyberaanval ontdekt die in de tweede helft van 2018 een half miljoen professionals in gevaar heeft gebracht. Deze zogeheten ShadowHammer operatie trof gebruikers van ASUS Live Update Utility. Dat is een supply-chain keten van verbonden systemen waarin uiteenlopende type functionarissen actief zijn op het vlak van productontwikkeling.

Via achterdeurtjes kregen cybercriminelen toegang tot intellectuele informatiebronnen die van strategisch belang zijn voor de levenscyclus van producten. De aanval komt nu pas aan het licht door technische slimmigheid van de cyberaanvallers. Kaspersky Lab heeft het probleem inmiddels bij ASUS gemeld.

Operatie ShadowHammer

De cybercriminelen achter ShadowHammer hebben zich gericht op ASUS Live Update Utility als eerste infectiebron. Dit is een hulpprogramma voor automatische BIOS-, UEFI-, drive- en applicatie-updates voor ASUS-computers. Met behulp van gestolen digitale certificaten die ASUS gebruikt om legitieme binaire bestanden te ondertekenen, hebben de aanvallers hun eigen kwaadaardige code in oudere versies van ASUS-software geïnjecteerd. Tot Trojan omgebouwde versies van het hulpprogramma zijn ondertekend met legitieme certificaten en vervolgens gehost op en gedistribueerd vanaf officiële ASUS-updateservers. Hierdoor waren ze onzichtbaar voor verreweg de meeste beveiligingsoplossingen. Alle 500.000 gebruikers van het ASUS-hulpprogramma konden in theorie slachtoffer worden. Gelukkig hebben de cybercriminelen achter ShadowHammer zich beperkt tot toegang tot enkele honderden bewust geselecteerde gebruikers.

Een supply chain-cyberaanval, een gevaarlijke en effectieve infectiemethode, wordt steeds vaker toegepast bij geavanceerde operaties, zoals ShadowPad en CCleaner. Deze aanvallen zijn gericht op specifieke manco’s in onderling verbonden systemen van menselijke, organisatorische, materiële en intellectuele bronnen die een rol spelen in de levenscyclus van een product. Van de initiële ontwikkelfase tot aan de eindgebruiker van het product. Zelfs als de infrastructuur van een leverancier veilig is, zijn zwakke plekken mogelijk in de faciliteiten van verschillende betrokken dienstverleners. Met het risico op verwoestende en volkomen onverwachte datalekken.

Strategie en modulaire aanpak

Onderzoekers hebben ontdekt dat iedere backdoorcode een tabel bevat met hardcoded MAC-adressen. Dit zijn unieke identificatiecodes van netwerkadapters die een computer met een netwerk verbinden. Nadat het achterdeurtje op de apparatuur van het slachtoffer is geopend, kijkt deze of het MAC-adres in de tabel staat. Als dit het geval was, downloadt de malware de volgende fase van de schadelijke code. In de overige gevallen vertoont de geïnfiltreerde inbreker geen netwerkactiviteit. Daarom is deze cyberaanval zo lang onontdekt gebleven. Veiligheidsexperts hebben in totaal meer dan 600 MAC-adressen geïdentificeerd. Deze MAC-adressen zijn aangevallen door meer dan 230 unieke backdoor-samples met verschillende shellcodes.

De modulaire aanpak plus de extra voorzorgsmaatregelen ter voorkoming van code- en datalekkage, suggereren dat het voor de cyberaanvallers van groot belang was dat de zeer precieze aanval op uiterst specifieke doelwitten niet zou worden gedetecteerd. Diepgaande technische analyse laat zien dat het arsenaal van de cybercriminelen zeer geavanceerd is. Dat onderstreept het hoge ontwikkelingsniveau van deze hackers. De zoektocht naar vergelijkbare malware heeft onthuld dat software van drie andere aanbieders in Azië met vergelijkbare backdoors is geïnfecteerd.

"De geselecteerde leveranciers zijn extreem aantrekkelijke doelen voor APT-groepen die misbruik willen maken van aanzienlijke klantenbestanden”, zegt Jornt van der Wiel, security-expert bij Kaspersky Lab. “Het is nog niet helemaal helder wat het uiteindelijke doel van de aanvallers was. We zijn nog volop in onderzoek wie er precies achter de aanval zit. De gebruikte technieken voor het ongeautoriseerd uitvoeren van code én andere ontdekkingen wijzen erop, dat ShadowHammer waarschijnlijk is gerelateerd aan de BARIUM APT. Dat wordt onder andere in verband gebracht met ShadowPad en CCleaner. Deze nieuwe cyberdreiging laat weer eens zien hoe verfijnd en gevaarlijk een slimme supply-chain-aanval kan zijn.”

Op Securelist staat een blog met een samenvatting van de aanval, de belangrijkste zaken om te weten en diverse IOC's. Je vindt er ook een tool om na te gaan of de aanval van toepassing is op bepaalde apparatuur.

VIND FERM OOK OP TWITTER | LINKEDIN | FACEBOOK