Mặc dù cuộc điều tra vẫn đang diễn ra, tuy nhiên Kaspersky đã công bố một số thông tin về chiến dịch này. Được đặt tên là ShadowHammer, chiến dịch được phát hiện vào tháng 1/2019. Đây là hình thức tấn công chuỗi cung ứng tinh vi liên quan đến ASUS Live Update Utility. Tuy nhiên, trong thực tế chiến dịch này đã bắt nguồn từ tháng 6 - 11/2018 gây ảnh hưởng đến số lượng lớn người dùng.
ASUS Live Update Utility là tiện ích được cài đặt trên hầu hết các máy tính ASUS và được sử dụng để tự động cập nhật một số thành phần như BIOS, UEFI, drivers và ứng dụng. Theo Gartner, ASUS là hãng cung cấp máy tính lớn thứ 5 trên thế giới về doanh số trong năm 2017. Điều này làm cho ASUS trở thành mục tiêu của tin tặc.
Ngày 31/1/2019, Kaspersky đã thông báo cho ASUS về sự việc này. Tuy nhiên, tính tới thời điểm hiện tại, ASUS phủ nhận việc chủ đích phát tán mã độc và cho biết sẽ phát hành thông báo chính thức sau đó. Ước tính tới thời điểm hiện tại, số lượng máy tính bị lây nhiễm đã lên tới 1 triệu máy. Mã độc này được ngụy trang dưới bản cập nhật phần mềm quan trọng, phát tán từ máy chủ của ASUS và được ký bằng chứng thư số hợp lệ từ chính ASUS. Điều này làm cho mã độc dễ dàng vượt qua các phần mềm antivirus. Vì vậy, cuộc tấn công này được đánh giá có mức độ tinh vi hơn cả Shadowpad và CCleaner.
Theo các chuyên gia, mặc dù chưa xác định được động cơ của chiến dịch này, tuy nhiên, dường như tin tặc nhắm vào một số khách hàng cụ thể. Nguyên nhân, mã độc được phát hiện bao gồm hướng dẫn đặc biệt cho 600 máy tính được xác định thông qua các địa chỉ MAC. Sau khi bị lây nhiễm, mã độc sẽ cài thêm các chương trình độc hại khác để can thiệp vào hệ thống. Thông tin chi tiết về chiến dịch này sẽ được Kaspersky công bố tại Hội nghị SAS 2019 tại Singapore.
Hiện tại, Kaspersky đã phát hành 1 công cụ cho phép người dùng xác định máy tính có là mục tiêu tấn công của tin tặc hay không. Người dùng có thể truy cập tại đây và nhập địa chỉ MAC để kiểm tra độ trùng khớp.
Mã độc này được đặt tên Trojan.Win32.ShadowHammer.gen. Một số thông tin định danh về mã độc:
Tên miền và IP:
- Asushotfix/com
- 141.105.71.116
Các URL phân phối:
- hxxp://liveupdate01.asus[.]com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER365.zip
- hxxps://liveupdate01s.asus[.]com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER362.zip
- hxxps://liveupdate01s.asus[.]com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER360.zip
- hxxps://liveupdate01s.asus[.]com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER359.zip
Mã băm:
- aa15eb28292321b586c27d8401703494
- bebb16193e4b80f4bc053e4fa818aa4e2832885392469cd5b8ace5cec7e4ca19
Đây không phải là lần đâu tiên hình thức tấn công này được phát hiện. Trước đó, vào tháng 9/2017, phần mềm dọn dẹp máy tính CCleaner chứa mã độc được phát tán khiến gần 2,3 triệu người dùng bị ảnh hưởng. Khi đó, Avast đã nhanh chóng phát hành phiên bản 5.34 và khuyến cáo tới người dùng cách gỡ bỏ, khôi phục lại hệ thống khi sử dụng phiên bản 5.33.