Operation Shadowhammer

Asus var ikke alene: Flere selskaper har blitt brukt til å spre skadevare gjennom legitim programvare 

Legges inn etter den digitale signeringen.

Flere legitime programvareleverandører har blitt utnyttet til å spre skadevare sammen med digitalt signert programvare.
Flere legitime programvareleverandører har blitt utnyttet til å spre skadevare sammen med digitalt signert programvare. (Foto: Colourbox/13428131)

Legges inn etter den digitale signeringen.

I mars meldte digi.no om en ny angrepsmetode hvor hackere har spredd skadevare gjennom offisielle programvareoppdateringer fra legitime aktører, i dette tilfellet Asus. Nå ser det ut til at Asus slettes ikke var alene om å bli utnyttet på denne måten.

Blant ande Bleeping Computer melder nå at sikkerhetsforskere fra Kaspersky Lab, som oppdaget det ovennevnte Asus-angrepet, også har oppdaget tilsvarende angrep mot andre selskaper.

Har identifisert seks andre

Kaspersky Lab skriver på nettstedet sitt at minst seks andre selskaper skal ha blitt rammet av Operation Shadowhammer, som den nye hackerkampanjen er blitt døpt.

Sikkerhetsselskapet har identifisert den ondsinnede programvaren, som altså også her skal ha blitt spredt gjennom selskapenes servere, via algoritmer som lignet på de som ble brukt i Asus-angrepet.

To av selskapene som ble identifisert var spillutviklere med et knippe heller ukjente spilltitler på merittlisten, mens én var en aktør innen IT-infrastrukturtjenester som også jobbet med spillutvikling. 

De siste tre selskapene var alle sørkoreanske, hvorav ett var en spillutvikler, det andre et farmasøytselskap og det tredje et stort holdingsselskap av konglomerattypen. Ingen av disse tre selskapene ble navngitt av Kaspersky Lab.

De identifiserte spillselskapene skal ha fått spillene infisert med ondsinnet kode, som så har rammet folk som har lastet ned spillene. De aktuelle titlene er Infestation: Survivor Stories, Infestation og et noe mer populært skytespill ved navn PointBlank.

Signert med legitime sertifikater

Den ondsinnede programvaren var i stand til å samle inn informasjon om blant annet systembrukernavn, MAC-adresser, IP-adresse, CPU-arkitektur.

Som i Asus-saken dreier det seg om kjørbare filer som var blitt infisert av skadevare som installerte bakdører på PC-en til dem som hentet ned filene, og programvaren var signert med legitime, digitale sertifikater. Det er dette som har gjort det vanskelig å oppdage angrepsmetoden.

Selv om trusselen mot vanlige forbrukere i dette tilfellet muligens er begrenset, mener Kaspersky at hendelsen likevel er svært betydningsfull fordi den viser at velrenommerte aktører kan bli ofre for kompromittering av digitale sertifikater.

Ifølge sikkerhetsselskapet er det trolig ikke grunn til å la være å stole på digital signaturer, men selskapet mener programvareutviklere bør introdusere en ny fase i programvarebyggingen hvor det sjekkes for potensielle skadevareinjeksjoner selv etter at koden er digitalt signert.

Flere tekniske detaljer om Shadowhammer finner du på Kaspersky Labs nettsted.

Les også: Har klienter som fortsatt blir infisert av WannaCry (Digi ekstra)

Kommentarer (1)

Kommentarer (1)
Til toppen