ASUS оказалась не единственной целью атак ShadowHammer

0

Помимо ASUS, операторы кампании атаковали еще по меньшей мере шесть организаций.

В конце марта нынешнего года специалисты «Лаборатории Касперского» рассказали о вредоносной кампании, получившей название ShadowHammer, в рамках которой злоумышленники взломали утилиту ASUS Live Update для доставки обновлений BIOS, UEFI и ПО на лэптопы и стационарные компьютеры ASUS и внедрили в нее бэкдор. Теперь аналитики ЛК опубликовали подробный отчет об атаках ShadowHammer, где раскрыли технические подробности случившегося.

Как оказалось, помимо ASUS, операторы кампании атаковали еще по меньшей мере шесть организаций. В их числе таиландская компания Electronics Extreme Company Limited, выпустившая игру Infestation: Survivor Stories, компания Innovative Extremist, которая сейчас занимается предоставлением IT- и web-услуг, а ранее являлась партнером Electronics Extreme и имела отношение к выпуску игр, а также фирма Zepetto Co, разработавшая игру PointBlank, чьи файлы также оказались заражены бэкдорами. Как предполагается, злоумышленники либо имели доступ к исходному коду проектов пострадавших фирм, либо внедрились в сети указанных компаний и добавили вредоносный код на этапе компиляции проектов. Эксперты не называют трех остальных пострадавших, указав лишь, что речь идет о южнокорейских компаниях в области разработки игр и фармацевтики.

После запуска на компьютерах жертв вредоносные игры, служащие в качестве загрузчиков вредоносного ПО, осуществляли проверку на предмет запущенных инструментов для мониторинга трафика и установленного языка (упрощенный китайский или русский). В таких случаях бэкдор автоматически прекращал работу.

После проверки вредонос собирал информацию о системе (имя, MAC-адрес, IP-адрес, версия Windows, архитектура процессора, установленный по умолчанию язык и т.д.), отправлял данные на управляющий сервер и получал различные команды. Как отмечается, в рамках операции использовалась новая версия бэкдора ShadowPad, ранее замеченного в похожих атаках на цепочки поставок. К примеру, в 2017 году было скомпрометировано популярное приложение CCleaner, использующееся для оптимизации и «чистки» ОС семейства Windows. Различные ИБ-эксперты сходятся во мнении, что в последнем случае организатором атак являлась группировка BARIUM, получившая известность благодаря использованию бэкдора Winnti.

Также специалисты ЛК выяснили, что операторы ShadowHammer использовали алгоритмы, присущие ряду версий бэкдора PlugX, популярного среди китайскоговорящих хакерских группировок. По их словам, повторное использование алгоритма довольно необычное явление, которое может говорить о том, что разработчики ShadowHammer могли иметь отношение к созданию исходного кода PlugX.