ROMA. – Un attacco hacker che sembrerebbe di larga scala ma in realtà è “chirurgico” e ha i contorni di una spy story. Un’operazione denominata ShadowHammer, avvenuta tra giugno e novembre del 2018, ha preso di mira gli utenti dei computer Asus impattandone potenzialmente un milione nel mondo, ma in realtà concentrandosi su molti meno con un sistema di individuazione preciso e silente.
Un attacco rivolto a “organizzazioni o entità internazionali anziché ai consumatori”, spiega l’azienda asiatica che ha rilasciato un aggiornamento. E le modalità sono simili ad azioni cybercriminali passate. A segnalare l’operazione ShadowHammer è stata la società di sicurezza russa Kaspersky Lab.
Gli autori dell’attacco, che in gergo viene definito alla ‘supply chain’, hanno agito con questo schema: hanno utilizzato Asus Live Update Utility, uno strumento di aggiornamento fornito dalla stessa casa madre e vi hanno introdotto una backdoor, cioè una porta di servizio, grazie alla quale hanno inserito un codice malevolo. L’operazione è durata almeno sei mesi.
Secondo Kaspersky ad avere sul proprio computer la versione malevola di Asus Live Update sono circa 57 mila utenti, un numero che potrebbe crescere fino a toccare quota un milione. Tra i paesi coinvolti, in primo luogo la Russia, a seguire Germania, Francia e Italia. Gli hacker sarebbero stati interessati, in particolare, a determinati utenti individuati tramite il Mac (Media Access Control) cioè un indirizzo di dodici cifre che serve ad identificare in maniera univoca ogni scheda di rete presente nel pc.
La backdoor dei cybercriminali, una volta scaricata sul computer con un determinato indirizzo Mac preso di mira, si sarebbe collegata ad un server sotto il controllo degli hacker per installare a sua volta un ulteriore codice malevolo. Fino ad ora i computer finiti in questo giro sarebbero circa 600. Il virus malevolo, osservano gli esperti, “avrebbe potuto infettare tutti gli utilizzatori della utility, ma gli autori della minaccia hanno preferito concentrarsi su alcune centinaia sui quali evidentemente avevano già raccolto informazioni. Per gli autori di questo attacco sofisticato era importante passare inosservati mentre colpivano alcuni obiettivi specifici con una precisione che potrebbe essere definita chirurgica”.
Ipotesi supportata dalla stessa Asus. “Gli attacchi hanno come obiettivo primario organizzazioni o entità internazionali anziché i consumatori, è stata impattata una quantità limitata di dispositivi”, commenta l’azienda asiatica che ha contattato gli utenti interessati e fornito assistenza, ma ha anche lanciato “uno strumento online per verificare i dispositivi interessati”.
“Non è ancora molto chiaro quale fosse l’obiettivo finale di questi attaccanti, stiamo cercando di capire chi si cela davvero dietro questa operazione – commenta Vitaly Kamluk di Kaspersky Lab – Le tecniche impiegate suggeriscono che ShadowHammer possa essere probabilmente collegato con gli autori di minacce Apt Barium”. E’ un gruppo di hacker cinesi in precedenza legato agli incidenti relativi ai software ShadowPad e CCleaner, probabilmente collegato al governo di Pechino.
(di Titti Santamato/ANSA)
