ShadowHammer: uma operação em larga escala

25 abr 2019

Em nossa publicação anterior sobre a operação ShadowHammer, prometemos trazer mais informações. E, embora a pesquisa ainda esteja em andamento, nossos pesquisadores estão dispostos a compartilhar novos detalhes sobre esse sofisticado ataque à cadeia de suprimentos.

Magnitude da operação

Como já mencionamos, a ASUS não é a única empresa que os cibercriminosos usaram. Depois de estudar o ataque, nossos especialistas descobriram outras amostras com algoritmos semelhantes. Assim como no primeiro caso, as amostras usaram binários com assinatura digital de três outros provedores asiáticos:

  • Electronics Extreme, criadora do jogo de zumbis chamado Infestation: Survivor Stories,
  • Innovative Extremist, uma empresa que oferece serviços de infraestrutura de computadores e web, mas que também desenvolve jogos.
  • Zepetto, a empresa sul-coreana que desenvolveu o videogame Point Blank.

Segundo nossos pesquisadores, os invasores conseguiram acessar o código-fonte dos projetos das vítimas ou infectar com malwares no momento da compilação do projeto, ou seja, eles estavam dentro das redes dessas empresas. Tudo isso nos lembra de um ataque que relatamos há um ano: o incidente do CCleaner.

Além disso, nossos especialistas identificaram mais três vítimas: outra empresa de videogames, um conglomerado de organizações e uma companhia farmacêutica, todas da Coréia do Sul. Por enquanto não podemos compartilhar mais informações sobre elas, pois estamos as informando sobre o ataque.

Objetivos

Nos casos de Electronics Extreme, Innovative Extremist e Zepetto, o software comprometido forneceu uma carga bastante simples para os sistemas das vítimas, mas capaz de coletar informações sensíveis, incluindo nomes de usuários, especificações de computadores e versões. do sistema operacional. Também poderia ser utilizado para baixar a carga maliciosa dos servidores de comando e controle, assim, ao contrário do caso da ASUS, a lista de possíveis vítimas não se limitava a uma lista de endereços MAC.

Além disso, essa lista de mais de 600 endereços MAC não limitou a atuação e alcance dos objetivos a apenas esses 600 (ou mais), uma vez que pelo menos um deles pertence a um adaptador Ethernet virtual e todos os usuários desse dispositivo compartilham o mesmo endereço MAC.

Para mais informações técnicas, acesse a o Securelist.

Como evitar se tornar um link em um ataque de cadeia de suprimentos

Em todos os casos mencionados acima, os cibercriminosos obtiveram certificados válidos e comprometeram os ambientes de desenvolvimento de suas vítimas. Portanto, nossos especialistas recomendam que os fornecedores de software introduzam outro procedimento em seu processo de produção de softwares que também verifique possíveis infecções por malware, mesmo após o código ter recebido a assinatura digital.

Para evitar esse tipo de ataque, você deve ter um time de especialistas com experiência em detecção de ameaças. Podemos ajudar seu negócio com o Targeted Attack Discovery, nossos especialistas ajudarão a identificar as atividades de cibercriminosos e espionagem em sua rede e a entender as razões e as possíveis fontes desses incidentes. Além disso, podemos oferecer o Kaspersky Managed Protection com monitoramento ininterrupto e análise contínua de dados de ciberameaças. Para obter mais informações sobre o trabalho de nossos analistas de segurança na detecção de ameaças avançadas, visite a página do Kaspersky Threat Hunting.