«Лаборатория Касперского» обнаружила атаку ShadowHammer на пользователей ASUS Live Update, утилиты для обновления драйверов. С июня по ноябрь 2018 года атакующие распространяли бэкдор, который поставил под угрозу безопасность более миллиона пользователей, о чём компания сообщила Upgrade в пресс-релизе.
Создатели ShadowHammer использовали ASUS Live Update как первоначальный источник заражения. Эта утилита предустанавливается на большинстве новых компьютеров ASUS с целью автоматического обновления системного ПО (включая BIOS, UEFI, приложения и драйверы). Атакующие внедряли вредоносный код в модифицированные старые версии ПО ASUS, используя украденные цифровые сертификаты, которые применялись ASUS для подписывания легитимных бинарных файлов. После чего утилиты с встроенными троянцами подписывались легитимными сертификатами и распространялись с официальных серверов обновлений ASUS, что делало их практически невидимыми для абсолютного большинства защитных решений.
Хотя это и означает, что потенциально каждый пользователь такого ПО мог стать жертвой атаки, реальной целью создателей ShadowHammer было всего несколько сотен конкретных устройств. Как обнаружили исследователи «Лаборатории Касперского», код каждого бэкдора содержал таблицу со списком определённых MAC-адресов, то есть уникальных идентификационных кодов, которые присваиваются сетевым картам, чтобы компьютер мог подсоединяться к сети. После запуска на устройстве жертвы зловред проверял, входит ли этот MAC-адрес в список. Если данное условие выполнялось, то загружался следующий модуль вредоносного кода. В противном случае эта утилита не проявляла никакой дополнительной сетевой активности, и именно поэтому атака так долго оставалась необнаруженной. В общей сложности исследователи смогли идентифицировать свыше 600 MAC-адресов в этом списке. Они стали целью для более чем 230 уникальных образцов вредоносного ПО, у каждого из которых был различный шелл-код.
