I ricercatori presso Kaspersky hanno affermato che ASUS, uno dei più grandi produttori di hardware per computer al mondo, è stata sfruttata da un hacker affinché venisse installata una backdoor maligna su centinaia di migliaia di computer.

L’hacker era riuscito ad accedere ai server di ASUS, e a caricare il proprio malware con tanto di firma certificata di ASUS per farlo passare come file autentico, ed essere così scaricato dal software di autoaggiornamento e installarlo come fosse un qualunque update.

Questo fatto è accaduto l’anno scorso ed è durato ben cinque mesi, prima che i tecnici si accorgessero che c’era qualcosa che non andava, riuscendo quindi a eliminare il file malevole.

Stando ai ricercatori, il malware è stato installato su PC Windows di quasi mezzo milione di utenti, ma soltanto 600 di questi sono stati vittima di ulteriori attacchi sfruttando proprio questa backdoor. L’attacco consisteva nell’installare ulteriore software malevolo su tali dispositivi.

Questo attacco è stato denominato ShadowHammer da Kaspersky, e verrà discusso approfonditamente durante la Security Analsy Summit a Singapore. Per saperne di più, è possibile consultare il documento pubblicato da Kaspersky.

AGGIORNAMENTO

Di seguito il commento di Alexander VukcevicDirettore di Avira Protection Lab, in merito all’avvenuto attacco agli utenti ASUS.

“I criminali informatici hanno sfruttato i punti deboli della supply chain ASUS e del sistema di certificazione digitale per mettere in atto quello che potrebbe essere definito come un attacco di “spear-hacking”.

Sfruttare un programma molto conosciuto per veicolare un trojan è una strategia molto efficace perché questo tipo di software viene considerato affidabile. Ciò fa capire quanto sia importante per i fornitori proteggere accuratamente server e processi.

Finora in Avira abbiamo rilevato più di 438 mila esecuzioni del programma di configurazione iniziale utilizzato dagli utenti Asus ma la buona notizia è che con l’attuale aggiornamento, il file PE contenente il codice malevolo è già stato individuato da Avira come TR/ShadowHammer.ME”.