Shadow Hammer: ASUS dizüstü bilgisayarlar için kötü amaçlı güncellemeler

Mart 26, 2019

Uzmanlarımız, ürünlerimizde bulunan ve tedarik zinciri saldırılarını tespit edebilen yeni bir teknoloji sayesinde şimdiye kadarki en büyük tedarik zinciri saldırılarından birini açığa çıkardı (CCleaner saldırısını hatırlıyor musunuz? İşte bu saldırı, ondan bile büyük). Bir tehdit aktörü, ASUS dizüstü bilgisayarlara BIOS, UEFI ve yazılım güncellemeleri sunan ASUS Live Update Yardımcı Programı’nda bazı değişiklikler yaptı, programa bir arka kapı ekledi ve resmi kanallar aracılığıyla bunu kullanıcılara dağıttı.

Truva Atı haline getirilen yardımcı program, yasal bir sertifikayla imzalandığı ve ASUS’un güncellemelere özel resmi sunucusunda barındırıldığı için uzun bir süre boyunca tespit edilemedi. Siber suçlular, kötü amaçlı yardımcı programın dosya boyutunun orijinal dosya ile aynı kalmasına bile dikkat etmişlerdi.

İstatistiklerimize göre Kaspersky Lab ürünlerinin 57.000’den fazla kullanıcısı, içinde arka kapı bulunan bu yardımcı programı bilgisayarına yükledi ancak bu programın toplamda yaklaşık 1 milyon kişiye ulaştığını tahmin ediyoruz. Bununla birlikte, bu saldırının arkasındaki siber suçlular, kullanıcıların tamamıyla ilgilenmiyordu; yalnızca 600 spesifik MAC adresini hedef aldılar, bu MAC adresleri için dosya karmaları yardımcı programın farklı sürümlerinin içine gömülmüştü.

Bu saldırıyı araştırırken üç farklı satıcının yazılımlarına karşı aynı tekniklerin kullanıldığı fark ettik. Elbette, saldırıyı ASUS’a ve diğer şirketlere bildirdik. Şu anda tüm Kaspersky Lab çözümleri, truva atı haline getirilmiş yardımcı programları tespit edip engelledi fakat yine de ASUS Live Update Yardımcı Programı’nı kullanıyorsanız programı güncellemenizi tavsiye ederiz. Konu hakkındaki araştırmalarımız devam ediyor.

Şimdiye kadarki en büyük tedarik zinciri hakkında daha fazla bilgi almak, teknik ayrıntıları keşfetmek, Risk Göstergelerini görmek ve kendinizi bu tür tedarik zinciri saldırılarından korumakla ilgili tavsiye almak için SAS 2019 konferansını ziyaret etmenizi öneririz; yılın en sıcak güvenlik konferansı 8 Nisan tarihinde Singapur’da başlayacak. Bu konferansta, çok ilginç detaylarla birlikte Shadow Hammer APT’sini ele alan bir konuşma yapacağız. Biletler, neredeyse tükenmek üzere, acele edin.

Alternatif olarak SAS’ın yapıldığı tarihlerde securelist.com web sitesinde yayınlanacak olan raporumuzun tamamını da okuyabilirsiniz. Bizi takip edin!