Almeno 57.000 proprietari di un pc Asus, ma forse fino a un milione, hanno scaricato e installato una versione dell’utility Asus Live Update che è stata manomessa con una backdoor e ospitata per lungo tempo sui server Asus ufficiali, riferisce Kaspersky che ha identificato questo attacco battezzandolo ShadowHammer.

Apparentemente, le vere vittime dell’attacco, cioè persone od organizzazioni in cui la backdoor è stata effettivamente sfruttata per compromettere la sicurezza del computer, sono circa 600, ma secondo Kaspersky l’inchiesta è ancora in corso e sarà interessante cercare di trovare il nesso tra i computer coinvolti, anche per identificare l’autore dell’attacco. Al momento si sa che sono sparsi in tutto il mondo, ma con una prevalenza di utenti russi e tedeschi.

Dal punto di vista della sicurezza, l’aspetto più inquietante del malware è che è stato firmato digitalmente con certificati di sicurezza legittimi, cosa che li ha resi indistinguibili da un vero aggiornamento. Erano addirittura ospitati su server Asus. Il software Live Update può essere scaricato dal sito Asus, dove sarebbe rimasto anni nella sua versione compromessa, e viene anche pre-caricato sui nuovi pc.

Il software Asus Live Update è progettato per cercare nuove versioni dei software rilasciati sul sito Web Asus e quindi aggiornare automaticamente il BIOS, i driver e le applicazioni del PC. Se ShadowHammer consentiva al PC di scaricare versioni corrotte del BIOS, si compromette la sicurezza dell’intero pc.

L’attacco ha preso di mira la supply chain, afferma Kaspersky, e potrebbe coinvolgere un numero qualsiasi di partner di produzione. Non è ancora chiaro chi siano i veri bersagli dell’attacco per cui ShadowHammer  è stato progettato, ma Kaspersky sostiene di aver trovato un collegamento a BARIUM, un gruppo APT coinvolto in un supply chain attack simile nel 2017, noto come ShadowPad, che ha colpito il settore finanziario.

Kaspersky non ha specificato in particolare se il suo software bloccherebbe l’attacco, ma la società ha affermato di aver progettato uno strumento per determinare se il PC sia una delle macchine destinatarie dell’attacco finale, circa 600 indirizzi in tutto identificati univocamente nel codice del malware. Per fare ciò, è possibile scaricare un file eseguibile con un elenco degli indirizzi MAC o controllare manualmente il proprio indirizzo MAC su un elenco che è stato pubblicato online. (Per trovare il proprio indirizzo MAC, si può aprire il menu Impostazioni di Windows 10, quindi vai su Impostazioni> Rete e Internet e poi visualizzare le proprietà della rete.

Dato che Asus è considerato il quinto più grande produttore di PC al mondo e che ShadowHammer ha utilizzato certificati autentici, l’attacco è grave e rilevante. Fortunatamente, i veri bersagli dell’attacco sono un numero ridotto e ben definito, ma il fatto che il proprio pc abbia un’utility di aggiornamento di sistema compromessa non deve far dormire sonni tranquilli. È possibile disinstallare Asus Live Update in modo sicuro: Asus spiega come fare in questa pagina.