ASUS לא לבד: זוהו חברות נוספות, שנפלו קורבן ל-ShadowHammer
מאת:
מערכת Telecom News, 28.4.19, 14:48
נחשפו פרטים חדשים אודות ShadowHammer - אחת ממתקפות שרשרת האספקה המתוחכמות ביותר, שזוהו עד היום בעולם הסייבר. כיצד להימנע מהתקפות כאלו?
בסוף חודש מרץ ,כפי שדיווחנו –
כאן, חשפה מעבדת קספרסקי את
ShadowHammer, מתקפה ברמת תחכום גבוהה, שהתחילה בפריצה לרכיב
ASUS Live Update Utility הנמצא ברוב המחשבים מתוצרת אסוס. מחקר ראשוני הראה, שהתוקפים הצליחו לשנות את מקור רכיב התוכנה המאוחסן בשרתי החברה המרכזיים ומשם יורד למחשבי המשתמשים.
בתרחיש רגיל, שינוי של הקוד ברכיבי תוכנה מסוג זה אמור לשבור את החותמת הדיגיטלית. אך במקרה של אסוס, החתימה נותרה שלמה. הדבר מצביע על מתקפת שרשרת אספקה מתוחכמת המזכירה את אירועי
ShadowPanda ו-
CCleaner מבחינת תחכומה. הפעילות תחת חתימה תקפה אפשרה לקוד הזדוני להישאר נסתר במשך זמן רב.
כעת חושפת החברה, ש-
ASUS אינה החברה היחידה, שרכיבי תוכנה שלה נוצלו להפעלת
ShadowHammer. דוגמיות דומות של קוד זדוני עם חתימה בינארית תקפה נמצאו אצל חברות נוספות, ביניהן:
- Electronics Extreme, שכותבים של משחק זומבים בשם Infestation: Survivor Stories
- Innovative Extremist, שמספקת שירותי תשתית IT ורשת, אך גם פעילה בתחום פיתוח המשחקים.
- Zepetto, חברה דרום קוריאנית, שפיתחה את משחק הוידאו Point Blank.
על פי חוקרי החברה, או שהתוקפים החזיקו בגישה לקוד המקור של פרויקטים של החברות הללו, או שהם הצליחו להזריק קוד זדוני בזמן הקומפילציה של הפרויקט, והמשמעות היא, שהייתה להם גישה לרשתות הפנימיות של החברות.
ב-4 המקרים שנחשפו, התוכנה הפרוצה החדירה למערכות הקורבן מטען זדוני פשוט מאוד. המטען מסוגל לאסוף מידע אודות המערכת, כולל שמות משתמשים, תצורת המחשב, וגרסת מערכת ההפעלה. הקוד הזדוני גם מסוגל להוריד מטען זדוני נוסף משרתי הפיקוד והשליטה.
בשונה מהמקרה של ASUS, במקרים הנוספים שהתגלו, רשימת הקורבנות הפוטנציאלית לא הוגבלה לכתובות
MAC ספציפיות. מהמחקר המתמשך גם עלה, שבין 600 כתובות ה-
MAC, שהופיעו בקוד הזדוני של
ASUS, הופיעה לפחות כתובת אחת של מתאם אתרנט וירטואלי, שלמעשה, משותפת לכל המשתמשים של אותו המכשיר - עובדה המרחיבה את הרשימה ליותר מ-600 קורבנות אפשריים.
מומחי החברה זיהו 3 קורבנות נוספים: חברת משחקי וידאו נוספת, חברת אחזקות גדולה וחברת תרופות. תהליך הדיווח של חברות אלו עדיין בעיצומו ולכן לא ניתן לחשוף את שמותיהן.
כיצד להימנע מהתקפות כאלו?
קו משותף לכל המקרים, שצוינו לעיל, הוא שהתוקפים הצליחו להשיג תעודות תקפות ולפגוע בסביבות הפיתוח של הקורבנות. לכן, מומחי החברה ממליצים לספקי תוכנה להכניס בקרה נוספת לתהליכי הפיתוח שלהם, שתסרוק את התוכנה אחר קוד זדוני, שהוזרק אליה, גם לאחר שהקוד נחתם דיגיטלית.
כדי למנוע מתקפות כאלו יש צורך בציידי איומים ברמת מומחיות גבוהה, שמסייעים לחברות לזהות פעילויות ריגול ופשיעה המתרחשות
ברשתות ארגוניות, ולהבין את הסיבות והמקורות האפשריים לאירועים אלה, בפתרונות היכולים לספק ניטור וניתוח מסביב לשעון של איומי סייבר.
הדו"ח המלא -
כאן.
לבדיקה אם נפגעתם -
כאן.