ROMA – Un programma per aggiornare il computer di cui apparentemente fidarsi, perché a installarlo è la stessa casa madre, e invece inseriva una backdoor: una porta che permette ai malintenzionati di prendere il controllo del dispositivo. È successo a migliaia di utenti Asus, stando a quanto scoperto dai ricercatori del Kaspersky Lab, l’azienda di sicurezza informatica russa. La compagnia con base a Taipei si sarebbe resa involontariamente tramite del codice malevolo attraverso ASUS Live Update: un servizio che troviamo sui pc Asus al momento dell’acquisto e di norma si occupa di scaricare in automatico gli aggiornamenti di certe componenti del computer. In seguito a un attacco informatico ai server del colosso taiwanese, però, avrebbe cambiato natura per diventare un cavallo di Troia. Un mezzo con cui diffondere le backdoor facilmente e senza dare nell’occhio.

 

BACKDOOR INSTALLATA SU 57MILA COMPUTER

La compromissione della catena di distribuzione è stata soprannominata operazione “ShadowHammer” e sarebbe avvenuta tra giugno e novembre del 2018, come racconta Motherboard, il sito specializzato in tecnologia che ha rivelato la storia in anteprima. Chi c’è dietro e quale sia esattamente il suo obiettivo, però, sono due interrogativi ancora irrisolti. Così come lacunosi sono i dettagli tecnici dell’operazione perché le indagini di Kaspersky sono tutt’ora in corso e un’analisi dettagliata sarà rilasciata solo il mese prossimo durante il Security Analyst Summit della compagnia, a Singapore. Al momento, sappiamo poco. Abbiamo qualche informazione utile grazie a un post che Kaspersky ha pubblicato sul proprio sito: ad avere sul proprio computer la versione con backdoor di ASUS Live Update sono circa 57mila utenti. Un numero che potrebbe crescere esponenzialmente fino a toccare quota un milione. Tra i paesi coinvolti, invece, in prima fila c’è la Russia, seguita da Germania, Francia e Italia. Inoltre, l’azienda informatica statunitense Symantec ha confermato la scoperta dei concorrenti russi e individuato 13mila pc tra i propri clienti negli Stati Uniti che sono stati infettati attraverso il software d’aggiornamento maligno dell’azienda di Taipei.

 

L’operazione “ShadowHammer” non è di certo la prima compromissione relativa alla catena di distribuzione. Basti pensare a CCleaner: il popolare programma di pulizia che ha diffuso un malware attraverso un aggiornamento maligno del software, riuscendo a fare due milioni di vittime prima della scoperta nel 2017. “Ma è una ulteriore dimostrazione di come gli attori malevoli cerchino di infettare i loro obiettivi attaccando l’anello più debole della catena. In questo caso, i programmi pre-installati sul computer che in diverse situazioni hanno dimostrato di non essere d’aiuto per gli utenti, quanto piuttosto fonte di problemi”, commenta Gianluca Varisco, responsabile per la sicurezza di Arduino.

 

UTENTI PRESI DI MIRA TRAMITE MAC (MEDIA ACCESS CONTROL)

C’è poi un aspetto particolarmente intrigante di questa spy-story cyber: sempre secondo quanto riporta Kaspersky, i criminali informatici non sembrano interessati a tutte le persone che hanno scaricato la backdoor. Ma solo a determinati utenti che vengono individuati tramite il MAC (Media Access Control) address, cioè un indirizzo di dodici cifre che serve ad identificare in maniera univoca ogni scheda di rete presente nel computer. In pratica, quando la backdoor è scaricata su un pc con il MAC preso di mira, contatta subito un server sotto il controllo dei malintenzionati per installare un ulteriore codice malevolo su quei dispositivi. Fino ad ora i computer finiti nel mirino sarebbero circa 600.

 

COME CONTROLLARE SE IL PROPRIO COMPUTER È INFETTO

Asus in un primo momento ha negato qualsiasi attacco e non ha ancora preso particolari contromisure, anche se ha dichiarato a The Verge che rilascerà una dichiarazione ufficiale sulla vicenda nelle prossime ore. Per verificare se sul proprio computer è installato un malware, Kaspersky ha messo a disposizione uno strumento: https://kas.pr/shadowhammer. In alternativa, è possibile verificare il proprio indirizzo MAC qui: https://shadowhammer.kaspersky.com.
 


SITO UFFICIALE: http://www.repubblica.it/rss/tecnologia/rss2.0.xml