Adalah Operation ShadowHammer yang menargetkan penyerangan para pengguna ASUS Live Update Utility, dengan menyuntikkan backdoor ke dalamnya dan mungkin telah mempengaruhi lebih dari jutaan pengguna di seluruh dunia.
Serangan rantai pasokan adalah salah satu vektor infeksi yang paling berbahaya dan efektif, bahkan eksploitasi semakin meningkat dengan operasi canggih yang berlanjut selama beberapa tahun terakhir - seperti yang telah kita lihat pada ShadowPad atau CCleaner.
Aktor di balik ShadowHammer menargetkan ASUS Live Update Utility sebagai sumber infeksi awal. Ini adalah utilitas yang dipasang sebelumnya pada sebagian besar komputer ASUS baru, untuk pembaruan BIOS, UEFI, driver dan aplikasi otomatis.
Menggunakan sertifikat digital curian yang digunakan oleh ASUS untuk menandatangani binari yang sah, para pelaku kejahatan siber melakukan perusakan pada versi lama dari perangkat lunak ASUS dan menyuntikkan kode berbahaya mereka sendiri.
Utilitas yang sudah terinfeksi Trojan ditandatangani dengan sertifikat sah, kemudian di-host dan didistribusikan dari server pembaruan resmi ASUS - yang membuatnya sebagian besar tidak terlihat oleh beberapa solusi perlindungan.
Walaupun ini berarti bahwa setiap pengguna perangkat lunak yang terpengaruh berpotensi menjadi korban, pelaku di balik ShadowHammer fokus pada mendapatkan akses ke beberapa ratus pengguna, yang justru sudah mereka ketahui sebelumnya.
Seperti yang ditemukan oleh peneliti Kaspersky Lab, setiap kode backdoor berisi tabel alamat MAC yang dikodekan - pengidentifikasi unik dari adaptor jaringan yang digunakan untuk menghubungkan komputer ke jaringan. Setelah berjalan di perangkat korban, backdoor memverifikasi alamat MAC-nya terhadap tabel ini.
Jika alamat MAC cocok dengan salah satu entri, malware mengunduh tahap selanjutnya dari kode berbahaya. Jika tidak, updater yang diinfiltrasi tidak menunjukkan aktivitas jaringan apa pun, itulah sebabnya mengapa ia sulit ditemukan untuk waktu yang lama.
Secara total, pakar keamanan dapat mengidentifikasi lebih dari 600 alamat MAC. Ini ditargetkan oleh lebih dari 230 sampel backdoor yang unik dengan shellcode yang berbeda.
Analisis teknis mendalam menunjukkan bahwa gudang penyimpanan para pelaku kejahatan siber ini sangat terdepan dan mencerminkan perkembangan level tinggi dalam kelompoknya.
Pencarian malware yang serupa telah mengungkapkan perangkat lunak dari tiga vendor lain di Asia, semuanya menggunakan metode dan teknik yang sangat serupa. Kaspersky Lab juga telah melaporkan temuan ini kepada pihak Asus dan vendor lainnya.
Seluruh produk Kaspersky Lab berhasil mendeteksi dan memblokir malware yang digunakan di Operation ShadowHammer.
Untuk menghindari korban jatuh dari serangan yang ditargetkan oleh aktor ancaman yang dikenal atau tidak dikenal, peneliti Kaspersky Lab merekomendasikan untuk menerapkan langkah-langkah berikut:
- Selain mengadopsi perlindungan endpoint yang sangat harus Anda miliki, terapkan pula solusi keamanan tingkat korporat yang mendeteksi ancaman lanjutan pada tingkat jaringan tahap awal, seperti Kaspersky Anti Targeted Attack Platform;
- Untuk mendeteksi level endpoint, investigasi, dan remediasi insiden secara tepat waktu, kami merekomendasikan penerapan solusi EDR seperti Kaspersky Endpoint Detection and Response atau menghubungi tim respon insiden profesional;
- Integrasikan asupan Kecerdasan Ancaman ke dalam SIEM Anda dan melakukan kontrol keamanan lainnya untuk dapat mengakses ke data–data ancaman yang paling relevan dan terkini, serta bersiap menghadapi ancaman di masa depan.
