fbpx

לא רק Asus: חברות נוספות נפגעו ממתקפת ShadowHammer

מעבדת קספרסקי (kaspersky) חושפת פרטים חדשים אודות ShadowHammer – אחת ממתקפות שרשרת האספקה המתוחכמות והמתקדמות ביותר שזוהו עד היום בעולם הסייבר והמחשבים.

ShadowHammer

בסוף חודש מרץ (2019) חשפה מעבדת קספרסקי את ShadowHammer, מתקפת סייבר מתקדמת במיוחד שהתחילה בפריצה לתוכנת Live Update Utility של חברת Asus. תוכנה זו כאמור, נמצאת ברוב המחשבים מתוצרת Asus. המחקר הראשוני הראה כי התוקפים הצליחו לשנות את מקור רכיב התוכנה המאוחסן בשרתי החברה המרכזיים ומשם יורד למחשבי המשתמשים.

בתרחיש רגיל, שינוי של הקוד ברכיבי תוכנה מסוג זה אמור להרוס את החותמת הדיגיטלית המעידה על תקינות הקוד אך במקרה של Asus, החתימה נותרה שלמה למרות השינוי. הדבר מצביע על מתקפת שרשרת אספקה מתוחכמת המזכירה את אירועי ShadowPanda ו-CCleaner מבחינת תחכומה. הפעילות תחת חתימה תקפה ותקינה אפשרה לקוד הזדוני להישאר נסתר במשך זמן רב מבלי לעורר חשד כלל.

כעת חושפת מעבדת קספרסקי כי Asus אינה החברה היחידה שרכיבי תוכנה שלה נוצלו להפעלת ShadowHammer. דוגמיות דומות של קוד זדוני עם חתימה בינארית תקפה נמצאו אצל חברות נוספות, ביניהן:

  • Electronics Extreme, הכותבים של משחק זומבים בשם Infestation: Survivor Stories
  • Innovative Extremist, המספקת שירותי תשתית IT ורשת, אך גם פעילה בתחום פיתוח המשחקים
  • Zepetto, חברה דרום קוריאנית שפיתחה את משחק הוידאו Point Blank

על פי חוקרי קספרסקי, ייתכן והתוקפים החזיקו בגישה לקוד המקור של פרויקטים המפותחים בחברות האלו, או לחילופין, התקופים הצליחו להזריק קוד זדוני בזמן הקומפילציה של הפרויקט, המשמעות היא שהייתה להם גישה לרשתות הפנימיות של החברות – נתון מדאיג.

בארבעת המקרים שנחשפו, התוכנה הפרוצה החדירה אל מערכות הקורבן מטען זדוני פשוט מאוד. המטען מסוגל לאסוף מידע אודות המערכת, כולל שמות משתמשים, תצורת המחשב, וגרסת מערכת ההפעלה. הקוד הזדוני גם מסוגל להוריד מטען זדוני נוסף משרתי הפיקוד והשליטה.

בשונה מהמקרה של Asus, במקרים הנוספים שהתגלו, רשימת הקורבנות הפוטנציאלית לא הוגבלה לכתובות MAC ספציפיות. מהמחקר המתמשך גם עלה כי בין 600 כתובות ה-MAC שהופיעו בקוד הזדוני של Asus הופיעה לפחות כתובת אחת של מתאם אתרנט וירטואלי, שלמעשה משותפת לכל המשתמשים של אותו המכשיר – עובדה המרחיבה את הרשימה ליותר מ-600 קורבנות אפשריים.

מומחי מעבדת קספרסקי זיהו 3 קורבנות נוספים: חברת משחקי וידאו נוספת, חברת אחזקות גדולה וחברת תרופות. תהליך הדיווח של חברות אלה עדיין בעיצומו ולכן לא ניתן לחשוף את שמותיהן.

קו משותף לכל המקרים שצוינו לעיל הוא שהתוקפים הצליחו להשיג תעודות תקפות ולפגוע בסביבות הפיתוח של הקורבנות. לכן, מומחי קספרסקי ממליצים לספקי תוכנה להכניס בקרה נוספת לתהליכי הפיתוח שלהם, אשר תסרוק את התוכנה אחר קוד זדוני שהוזרק אליה גם לאחר שהקוד נחתם דיגיטלית.

כדי למנוע מתקפות שכאלה יש צורך בציידי איומים ברמת מומחיות גבוהה. שירות Trageted Attack Discovery של מעבדת קספרסקי מסייע לחברות לזהות פעילויות ריגול ופשיעה המתרחשות ברשתות ארגוניות, ולהבין את הסיבות והמקורות האפשריים לאירועים אלו. פתרון נוסף שיכול לספק ניטור וניתוח מסביב לשעון של איומי סייבר הוא Kaspersky Managed Protection. לבדיקה האם נפגעתם – ראו כאן.

טוני מלינקוביץ'
טוני הוא העורך הראשי שלנו כאן באתר, עם ידע רחב בחומרה ומקורות מהירים, טוני הוא גם הכתב המהיר ביותר שלנו, בנוסף לכתבות המעולות של טוני הוא גם אחראי על רוב הביקורות שלנו באתר וגם על המלל וחוות הדעת על חלק מסיקורי הוידאו שלנו.
דילוג לתוכן