Gli esperti di sicurezza della russa Kasperksy Lab hanno scoperto che a gennaio hacker ignoti sono stati in grado di inviare del malware (software che compromette l’usabilità del computer e la sicurezza dei suoi dati) a più di un milione di utenti di Pc prodotti dalla taiwanese Asus tramite un aggiornamento software effettuato dai sistemi dell’azienda stessa-
«Non siamo stati in grado di calcolare sino in fondo il numero degli utenti infettati, basandoci solo sui nostri dati», hanno dichiarato gli esperti di Kaspersky. Che hanno continuato: «Ma la nostra stima sulla scala del problema è che sia molto più grande di quanto non sembri e che riguardi almeno un milione di utenti in tutto il mondo».
L’attacco, che è stato chiamato “Operation ShadowHammer”, ha preso di mira gli utenti di Asus Live Update Utility inserendovi una backdoor nel periodo che va almeno da giugno a novembre 2018. Utilizzando certificati digitali rubati, che erano stati impiegati da Asus per siglare codici binari legittimi, gli attaccanti hanno manomesso versioni precedenti del software Asus, inserendovi il loro codice malevolo. Le versioni dell’utility, modificate con il trojan, sono quindi state firmate con certificati legittimi e sono state distribuite tramite i server ufficiali di aggiornamento di Asus – il che le ha rese impossibili da rilevare dalla maggioranza degli antivirus.
I ricercatori di Kaspersky Lab hanno poi visto che ogni variante della backdoor mirata per ciascun computer attaccato conteneva una tabella con un elenco di alcuni computer compromessi. L’approccio modulare e le precauzioni supplementari prese nel corso dell’esecuzione del codice, per prevenire l’identificazione anche accidentale, indicano che gli autori di questo attacco volevano passare inosservati mentre colpivano alcuni obiettivi specifici con precisione chirurgica.
L’attacco era stato segnalato la prima volta dal sito di informazione tecnologica americano Motherboard, e Symantec, l’azienda di sicurezza aziendale americana, ha dichiarato che è stata in grado successivamente di identificare il tipo di attacco effettuato. Asus non ha ancora commentato i fatti. Da quel che emerge mettendo assieme le differenti informazioni sull’incidente si scopre che sostanzialmente la chiave utilizzata per operare l’attacco da parte degli hacker è stato quello di infiltrare e prendere il controllo dei sistemi di aggiornamento del software di sistema di Asus e dei suoi fornitori.
Dalla prospettiva di Kaspersky sono stati individuati 57mila utenti – che usano i software di protezione dell’azienda russa i quali a loro volta informano in tempo reale di possibili nuovi attacchi – i cui computer sono stati compromessi dopo aver scaricato e installato il software proveniente dai server di Asus. Secondo Kaspersky, però, il tipo di attacco ha coinvolto un numero molto maggiore di utenti e c’è un motivo se questo è diventato un problema: infatti gli esperti di sicurezza di Mosca sostengono che è l’attacco è semplicemente scappato di mano agli hacker, che intendevano invece colpire un target molto più piccolo. Kaspersky ha detto di aver informato l’azienda a gennaio e di averla assistita per le indagini del caso.
