29 Апреля, 2019

Security Week 18: атака ShadowHammer в деталях

Лаборатория Касперского
В конце марта издание Motherboard опубликовало статью о потенциальном взломе инфраструктуры компании Asus. Получив частичный доступ к ресурсам компании, злоумышленники смогли распространить среди клиентов, установивших утилиту Asus Live Update для своевременной загрузки новых драйверов, подписанную официальным сертификатом версию программы с вредоносной функциональностью. Про эту атаку, обнаруженную специалистами «Лаборатории Касперского», мы писали в начале апреля .


«Лаборатория Касперского» опубликовала расширенный отчет о ShadowHammer 23 апреля. Этот весьма увлекательный, хотя и совершенно технический документ рекомендуется к прочтению целиком, а в этом посте будет лишь краткое описание части находок. Самое интересное — это потенциальная связь ShadowHammer с зараженными копиями не самой лучшей компьютерной игры про зомби и скоординированная атака на разработчиков программного обеспечения.

Всего эксперты «Лаборатории Касперского» обнаружили 230 образцов зараженной утилиты для обновления драйверов на устройствах Asus. Во всех случаях ее оригинальная версия датирована 2015 годом, но позднее в ходе атаки был изменен метод инъекции собственного исполняемого кода — скорее всего, чтобы эффективнее избегать детектирования:

Способ внедрения вредоносного кода поменяли в период между июлем и декабрем 2018 года. Дата начала атаки достоверно не известна, а обнаружили ее в январе 2019-го. Самым эффективным способом заразить компьютеры пользователей и остаться незамеченным было использование легитимных сертификатов Asus, которые также применялись для подписи «официальных» безвредных утилит, выпускаемых этой компанией.

На скриншоте выше — пример легитимной утилиты Asus, подписанной тем же сертификатом, что и вредоносная версия Asus Live Update. Дата подписи — март 2019 года, уже после того, как вендор получил информацию об атаке и использованных сертификатах. Операторам кампании пришлось в процессе сменить цифровую подпись для модифицированных исполняемых файлов, так как срок действия первого украденного сертификата истек в августе 2018 года.

Судя по использованию старой версии легитимной программы и отличиям в цифровой подписи официального и модифицированного ПО, у организаторов атаки был ограниченный доступ к внутренним ресурсам вендора. Например, удалось взломать компьютер одного из разработчиков, похитить сертификаты, но не актуальный исходный код утилиты. Кроме того, атакующие получили доступ к инфраструктуре для доставки обновленных версий утилиты, чтобы распространить вредоносную модификацию.

Ключевой особенностью атаки ShadowHammer является ограниченное количество целей для атаки. Потенциальных жертв было очень много: вредоносная версия Asus Live Update только средствами «Лаборатории Касперского» обнаружилась у 57 тысяч пользователей. Реальное количество жертв могло быть еще выше, но на большинстве компьютеров вредоносная программа не делала ничего явно незаконного.

Во всех случаях модифицированная утилита собирала данные о MAC-адресах всех доступных сетевых адаптеров и сравнивала их MD5-хеши с собственным списком. Только в случае обнаружения одного из MAC-адресов из списка происходило обращение к командному серверу, с которого скачивался другой исполняемый файл. Количество адресов отличается от образца к образцу: самый короткий список состоит из восьми MAC-адресов, в самом длинном их 307. Всего удалось определить более 600 идентификаторов сетевых устройств, по которым атакующие находили системы, представляющие интерес. Проверить собственные MAC-адреса на наличие в этом списке можно тут .

Вполне логично, что большинство MAC-адресов в списке относятся к устройствам, произведенным самой Asus. Но есть и адреса, накрывающие большое количество пользователей, например 00-50-56-C0-00-08 — идентификатор виртуального сетевого адаптера VMWare. Однако такое совпадение не всегда приводило к развитию атаки: она начиналась, только если MAC-адрес физического сетевого адаптера также совпадал с требуемым.

Как это выглядело на практике, показывает скриншот обсуждения на Reddit. Пользователю с установленной утилитой Asus Live Update приходит уведомление о «критически важном обновлении», при этом предлагается скачать программу трехлетней давности. Не факт, что в этом обсуждении речь идет о данной конкретной атаке (так как нет идентификатора файла), но судя по дате сборки бинарника — это была она. Учитывая, что поиск упоминаний дал только два сообщения о потенциальных проблемах ( второе точно не было связано c ShadowHammer), можно сказать, что атака прошла незамеченной, несмотря на достаточно большое количество потенциальных жертв.

Что происходило с теми, чей MAC-адрес оказывался в списке, неизвестно. На момент обнаружения атаки в январе 2019 года командный сервер был выключен, и пока исследователям не удалось получить исполняемые файлы, загружаемые на компьютеры реальных жертв.

Связь с другими атаками
И вот здесь в пост врываются зомби!

В марте 2019 года специалисты компании ESET исследовали зараженные версии игры Infestation: Survivor Stories. Учитывая тематику игры, это само по себе звучит как анекдот, но ситуация для разработчика (вероятно, использовавшего исходники более ранней игры The War Z) не самая веселая. Скорее всего, вредоносный код появился в официальных билдах после того, как компьютеры разработчиков были скомпрометированы. В этом, и в паре других инцидентов, связанных с атаками на игровые студии, был применен похожий на ShadowHammer способ инъекции вредоносного кода:

Окей, это не является надежным доказательством связи между двумя инцидентами. Но есть и совпадение по используемым алгоритмам хеширования собираемых на компьютерах жертв данных, и пара других общих технических особенностей атак. Судя по строкам во вредоносном коде, можно предположить, что исходники более ранней игры War Z могли распространяться в качестве своеобразного троянского коня для желающих воспользоваться ими разработчиков игр. Эксперты «Лаборатории Касперского» также нашли признаки повторного использования алгоритмов из ShadowHammer в бэкдоре PlugX , скорее всего, разработанном в Китае.

Вот эта потенциальная связь между разными атаками придает истории про ShadowHammer новое измерение и является предупреждением для разработчиков. Программисты могут стать невольными распространителями вредоносного кода благодаря скоординированным и последовательным действиям злоумышленников. Причем могут использоваться разные инструменты «внедрения»: кража сертификатов, включение вредоносного кода в исходники, инъекция в исполняемые файлы (например, перед отправкой заказчику). Судя по количеству белых пятен в этом и других расследованиях, атакующим удалось внедриться в инфраструктуру разработчиков ПО, распространить вредоносный код на большое количество жертв, при этом прицельно выбирать цели так, чтобы остаться незамеченными в течение как минимум нескольких месяцев (как в случае с ShadowHammer).

Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.