ASUS не са единствените пострадали от операция ShadowHammer!
Компанията за сигурност Kaspersky установи, че инструментът за актуализации на Asus е бил заразен със злонамерен софтуер. Въпреки, че изглеждаше малко вероятно Asus да е единствената компания, която да бъде атакувана по такъв начин, Kaspersky потвърди това днес, като разкри шест други компании, които бяха цели на същата операция ShadowHammer.
Изследователите на Kaskerspy, чрез блога на SecureList, казаха, че новооткритите образци на злонамерен софтуер използват алгоритми, които са подобни на тези, употребени в атаката срещу Asus.
Една от засегнатите компании – Electronics Extreme, работи върху survivor играта Infestation: Survivor Stories. Втората – Innovative Extremist, е доставчик на уеб и IT инфраструктурни услуги и също работи върху разработването на игри. Третата компания – Zepetto, е от Южна Корея и е разработчик на видеоиграта Point Blank.
Според изследователите на Kaspersky, нападателите са имали достъп до source кода на софтуер произведен от горепосочените компании. Хакерите най-вероятно са успели да проникнат в мрежите на тези компании. Изследователите отбелязаха, че това им напомня за атаката върху Avast CCleaner, когато update сървърите им бяха инфилтрирани по подобен начин, излагайки милиони потребители на троянски malware.
Kaspersky заяви, че атаката е била насочена към три други южнокорейски компании, включително компания за видеоигри, конгломератна холдингова компания и фармацевтична фирма. Фирмата за киберсигурност не сподели техните имена.
Как работи операция ShadowHammer?
Изследователите на Kaspersky отбелязаха, че компрометираните видеоигри на първите три компании, атакувани с операция ShadowHammer, са били в състояние да събират информация за потребителски имена, компютърни характеристики и конфигурации и версии на операционната система.
След като бъдат пуснати в действие на системите на жертвите, заразените игри първо ще проверят дали някои инструменти за наблюдение на трафика / процесора се изпълняват и дали използваният от системата език е опростен китайски или руски. Ако някое от тях е вярно, зловредният софтуер в игрите ще спре да работи. В противен случай той събира гореспоменатата системна информация и др.
Компрометираният софтуер може да се използва и за изтегляне на нови злонамерени товари от командните и контролните сървъри на нападателите. Списъкът на потенциалните жертви не се ограничава само до списък с MAC адреси, какъвто беше случаят с атаката срещу инструмента за актуализация на Asus.
Нападателите успяха да заразят софтуера на тези компании чрез валидни цифрови сертификати, които бяха използвани за компрометиране на техните среди за разработка. Kaspersky препоръчва на всички в тази позиция да анализират правилно програмния код дори след като той е цифрово подписан.
Източник: tomshardware.com
Благодарим на Тодор Колев за новината.