ShadowHammer: новые подробности

Инцидент с ASUS — лишь часть крупномасштабной операции.

Новые данные по операции ShadowHammer

В предыдущей статье, посвященной операции группировки ShadowHammer, мы обещали опубликовать дополнительные детали после конференции Security Analyst Summit. Расследование продолжается до сих пор, но наши исследователи уже могут сообщить новые подробности этой хитроумной атаки через цепочку поставок.

Масштаб операции

Как мы уже говорили, ASUS оказалась не единственной компанией, которую использовали злоумышленники для доставки своих зловредов. Изучая этот инцидент, наши эксперты обнаружили и другие образцы, которые работали по схожим алгоритмам и, как и в случае с ASUS, применяли цифровые подписи трех других азиатских ИТ-компаний:

  • Electronics Extreme, разработчика игры Infestation: Survivor Stories в жанре «зомби-апокалипсис»;
  • Innovative Extremist, поставщика веб-сервисов и ИТ-инфраструктур, также занимавшегося разработкой игр;
  • Zepetto, южнокорейского разработчика видеоигры Point Blank.

По данным наших исследователей, атаковавшие либо имели доступ к исходному коду проектов компаний-жертв, либо внедрили вредоносный код на этапе компиляции проектов, что означает, что у них был доступ к сетям этих компаний. В связи с этим сразу же вспоминается еще одна атака, о которой мы писали в прошлом году: инцидент с CCleaner.

Кроме того, наши эксперты обнаружили еще три потенциальные жертвы: компанию — разработчика видеоигр, крупный холдинг и фармацевтическую компанию; все три базируются в Южной Корее. На данный момент мы информируем их о случившейся атаке и пока не можем разглашать дополнительные подробности.

Конечные цели

В случае с Electronics Extreme, Innovative Extremist и Zepetto скомпрометированное ПО устанавливало на компьютеры жертв сравнительно простую вредоносную начинку. Она могла собирать информацию о системе, в частности имена пользователей, спецификации оборудования и версии операционных систем, а также загружать вредоносные объекты с C&C-серверов. В отличие от эпизода с ASUS, список потенциальных жертв уже не ограничивался набором MAC-адресов.

Заметим, что и список из 600 с лишним MAC-адресов не обязательно означает, что жертв было ровно столько же — как минимум один из них принадлежал виртуальному сетевому адаптеру, так что один и тот же MAC-адрес был связан с несколькими пользователями.

Дополнительную техническую информацию можно найти на сайте Securelist.

Как не стать звеном в атаке через цепочку поставок

Все вышеперечисленные инциденты связывает то, что атаковавшие раздобыли легальные сертификаты и, по-видимому, скомпрометировали среды разработки своих жертв. Чтобы избежать такого вмешательства, наши эксперты рекомендуют поставщикам программного обеспечения добавить в свой процесс контроля еще одну проверку на наличие вредоносных закладок, которая проводилась бы уже после цифровой подписи файлов.

Для предотвращения подобных атак вам понадобится помощь опытных борцов с киберугрозами, и нам есть что вам предложить. В рамках сервиса обнаружения активных целевых атак Targeted Attack Discovery наши эксперты отследят подозрительную активность в вашей сети (будь то шпионаж или другие виды киберпреступлений), проведут расследование инцидентов, определят их возможные источники и помогут понять причины. Кроме того, вы можете воспользоваться нашей службой Kaspersky Managed Protection, обеспечивающей круглосуточный мониторинг и анализ данных о киберугрозах. Более подробную информацию об обнаружении продвинутых угроз нашими аналитиками вы найдете на странице Kaspersky Threat Hunting.

Советы