Attacco malware ad Asus, Darktrace: potrebbe esserci uno Stato dietro

Attacco malware ad Asus, Darktrace: potrebbe esserci uno Stato dietro
di

Nella giornata di ieri abbiamo riportato su queste pagine la notizia della diffusione del malware su migliaia di PC Asus fin dalla produzione. Secondo i ricercatori, l'attacco avrebbe preso di mira la supply-chan ed il virus sarebbe stato distribuito per almeno cinque anni prima di venire scoperto.

Poco fa in redazione ci è giunto il commento di Justin Fier, Director of Cyber Intelligence and Analytics di Darktrace, secondo cui "questa nuova campagna di hacking che sfrutta l'hardware ASUS è emblematica della forza e dell’astuzia che caratterizza il mondo del cyber in cui viviamo.
Ha tutti i tratti distintivi di un'operazione informatica ben pianificata; è altamente mirata, ad alta intensità di risorse e quasi impossibile da rilevare".

"Chiunque volesse muovere un attacco di questo tipo avrebbe bisogno di un'enorme quantità di risorse per acquisire i certificati autentici di ASUS in modo da penetrare nella sua supply chain. E qui nasce il primo indovinello: chi si nasconde dietro a questa campagna?
Non è esagerato affermare che dietro a questa l'attività potrebbero celarsi Stati nazionali con un’ampia strategia di cyber attacco o organizzazioni internazionali concatenate volte alla criminalità informatica" è l'allarme di Darktrace, che però non fa alcun tipo di riferimento esplicito a stati specifici, ma sottolinea comunque la portata dell'attacco.

Fier si sofferma anche sulla natura mirata dell'attacco, dal momento che gli aggressori hanno preso di mira solo 600 macchine in tutto il mondo. "È solo questione di tempo, presto scopriremo che in realtà questi obiettivi, le macchine o le persone, hanno un filo unico che le collega tra loro" afferma lo stesso, che si chiede se attacchi Copycat avverranno anche contro Dell ed Apple, ed in generale contro tutte le aziende che utilizzano hardware Asus.

"Rubare certificati autentici e utilizzarli per firmare un codice maligno dimostra ancora una volta la necessità di allargare l’applicazione delle tecnologie IA sofisticate, in grado di identificare anche le più piccole anomalie che indicano una minaccia. Un comportamento di questo tipo, infatti, appare così simile a quello normale che solo l'intelligenza artificiale potrebbe comprendere la differenza tra normale e malevolo. Dovendo combattere sempre più attacchi sofisticati come questo, gli approcci tradizionali risulteranno inefficaci praticamente da un giorno all'altro, mentre la cyber IA traccerà la via da seguire verso il futuro” chiude la nota.

E' arrivato anche il commento del direttore di Avira Protection Lab, Alexander Vukcevic:

"I criminali informatici hanno sfruttato i punti deboli della supply chain ASUS e del sistema di certificazione digitale per mettere in atto quello che potrebbe essere definito come un attacco di "spear-hacking”.

Sfruttare un programma molto conosciuto per veicolare un trojan è una strategia molto efficace perché questo tipo di software viene considerato affidabile. Ciò fa capire quanto sia importante per i fornitori proteggere accuratamente server e processi.

Finora in Avira abbiamo rilevato più di 438 mila esecuzioni del programma di configurazione iniziale utilizzato dagli utenti Asus ma la buona notizia è che con l’attuale aggiornamento, il file PE contenente il codice malevolo è già stato individuato da Avira come TR/ShadowHammer.ME".