Aggiornamenti recenti Maggio 14th, 2024 2:48 PM
Mar 26, 2019 Marco Schiaffino Attacchi, Hacking, In evidenza, Intrusione, Minacce, News, RSS 0
Parafrasando Mao, si potrebbe dire “colpirne 500.000 per infettarne 600”. E il fatto che secondo quanto riporta Kaspersky i protagonisti dell’attacco si un gruppo di cyber-spioni collegato al governo cinese, non fa che rendere più calzante la citazione.
Secondo gli esperti della società russa, infatti, gli autori di questo clamoroso attacco (battezzato Operazione ShadowHammer) che ha preso di mira Asus farebbero parte del gruppo Barium APT, noto appunto per i suoi legami con Pechino.
L’elemento sconvolgente di tutta questa vicenda riguarda le modalità che i pirati hanno usato per portare il loro attacco, violando addirittura il sistema di aggiornamento automatico (ASUS Live Update Utility) di una delle più grandi aziende produttrici di computer del mondo.
Gli hacker, stando alla ricostruzione degli analisti Kaspersky, sarebbero riusciti a impossessarsi di un certificato digitale di Asus e avrebbero usato vecchie versioni dei driver dell’azienda taiwanese per crearne una versione contenente una backdoor.
Avrebbero infine caricato i driver infetti sui server ufficiali di Asus che li hanno poi distribuiti come aggiornamento ad almeno 500.000 computer.
Una strategia di attacco decisamente efficace, anche perché aggiornamenti di questo tipo (relativi cioè a driver e firmware) con un certificato digitale valido e provenienza dai server ufficiali aggirano con facilità i controlli dei software antivirus.
L’obiettivo dei pirati, però, non era quello di colpire “a tappeto”, ma puntavano a una serie di obiettivi specifici. All’interno del malware che hanno distribuito, infatti, era presente un elenco di circa 600 MAC Address, il codice univoco che identifica un dispositivo collegato in rete.
La backdoor nascosta tra le pieghe del codice veniva attivata solo nel caso in cui il MAC Address del computer colpito corrispondeva a uno di quelli in elenco.
Insomma: i pirati sapevano esattamente quali computer volevano colpire e per raggiungerli non hanno esitato a pianificare un attacco clamoroso pur di raggiungere l’obiettivo.
D’altra parte il gruppo Barium APT è conosciuto per aver messo a segno attacchi “supply chain” anche in passato, come nel caso di ShadowPad (ne abbiamo parlato in questo articolo) e quello a CCleaner (i dettagli in questo articolo).
Resta da capire che rischi corranno gli altri utenti che sono stati colpiti dal malware. Secondo i ricercatori, infatti, potrebbe rimanere al suo posto anche se in uno stato “dormiente”. Una prospettiva per nulla rassicurante anche per chi non rientra nel selezionato gruppo di bersagli presi di mira dai pirati.
Secondo i ricercatori, il caso di Asus conferma ancora una volta il livello tecnologico di questo gruppo, che sembra essere in grado di escogitare strategie sempre più raffinate per raggiungere i suoi scopi.
Mag 09, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 16, 2024 0
Mag 14, 2024 0
Mag 14, 2024 0
Mag 13, 2024 0
Mag 10, 2024 0
Mag 14, 2024 0
Dalla sua prima identificazione nell’aprile 2022 a...Mag 10, 2024 0
A partire dallo scorso gennaio e fino a metà marzo, MITRE...Mag 09, 2024 0
I sistemi Linux stanno diventando sempre più popolari e...Mag 08, 2024 0
Le aziende italiane continuano a essere uno degli obiettivi...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft: tra...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Mag 14, 2024 0
Apple e Google hanno annunciato la disponibilità di...Mag 14, 2024 0
Dalla sua prima identificazione nell’aprile 2022 a...Mag 13, 2024 0
Nell’ultima settimana, il CERT-AGID ha identificato e...Mag 10, 2024 0
Microsoft ha deciso di gestire le vulnerabilità DNS...Mag 09, 2024 0
Le campagne sfruttano le vulnerabilità dei plugin di...