Guida all’uso del tool in grado di riconoscere la presenza di una utility malevola sui PC della taiwanese Asus, un check-up indispensabile per contrastare la nuova minaccia dell’Operazione ShadowHammer.
Nel gennaio del 2019, Kaspersky Labs ha individuato una nuova minaccia informatica contro i PC prodotti dalla corporation taiwanese Asus denominata Operation ShadowHammer, un attacco di tipo APT (Advanced Persistent Threat) estremamente sofisticato e pericoloso che ha interessato almeno 57.000 utenti in tutto il mondo – Italia compresa.
La minaccia, la cui esistenza è ora di dominio pubblico, è basata sull’uso di una copia compromessa dell’utility ASUS Live Update, e gli ignoti cyber-criminali (già identificati in passato come “Barium” per altri attacchi APT) hanno potuto agire indisturbati per almeno sei mesi (tra giugno e novembre 2018) grazie all’uso di un certificato digitale legittimo rilasciato da Asus.
I criminali di Barium sono insomma riusciti a infilarsi nella filiera produttiva dell’azienda asiatica – uno dei maggiori produttori di PC al mondo – compromettendo una tappa importante del processo di configurazione dei sistemi, per uno scopo che a oggi risulta ancora ignoto.
Il trojan usato nell’Operazione ShadowHammer contiene al suo interno una lista codificata di indirizzi fisici dei chip di rete (MAC) installati sulle macchine dei potenziali bersagli, ed è quindi possibile verificare se il nostro PC Asus rientra in questa categoria sfruttando un apposito tool messo a disposizione da Kaspersky.
L’archivio compresso scaricato dai server di Kaspersky contiene un piccolo file eseguibile; una volta estratto e mandato in esecuzione, il suddetto eseguibile verificherà la presenza degli indirizzi MAC delle nostre schede di rete all’interno del database dei potenziali bersagli di ShadowHammer fin qui noti alla security enterprise moscovita. In caso negativo il tool visualizzerà un messaggio come quello dell’immagine allegata, altrimenti visualizzerà un allarme e inviterà l’utente a contattare Kaspersky via e-mail all’indirizzo shadowhammer@kaspersky.com
.
In alternativa, è possibile verificare se gli indirizzi MAC delle nostre schede di rete (cablata, Wi-Fi ecc.) risultano presi di mira da ShadowHammer controllando on-line sul sito Web messo a disposizione da Kaspersky. Asus ha altresì rilasciato una nuova versione dell’utility Asus Live Update (3.4.4), augurabilmente in grado di fare piazza pulita con il trojan che aveva preso il posto della versione legittima del tool.