Son.az bildirir ki, "Kaspersky Lab"dan Trend-ə verilən məlumata görə, tədarük zəncirinə hədəflənmiş yeni hücum aşkarlayıb.

Şirkətin apardığı araşdırma nəticəsində məlum olub ki, "ShadowHammer" fırıldaqçılarının əsas hədəfi onlayn rejimdə drayverləri yeniləyən ASUS Live Update proqramının istifadəçiləri olub.

2018-ci ilin iyun-noyabr aylarında hücumçular bu proqram təminatına bekdor tətbiq ediblər. "Kaspersky Lab" mütəxəssislərinin fikrincə, bunun nəticəsində dünyada 1 milyondan çox istifadəçinin təhlükəsizliyi sual altında qalıb.

Tədarük zəncirinə hədəflənmiş hücumlar son zamanlar tez-tez istifadə olunan ən təhlükəli və effektiv yoluxma vektorlarından biridir. Buna nümunə olaraq "ShadowPad" və "CCleane"i misal çəkmək olar. Belə hallarda fırıldaqçılar məhsulun yaranmasından istifadəçiyə çatdığı ana qədər olan mərhələlərdə sistemdə ola biləcək çatışmazlıqları aşkarlıyır, lazım olan zəif nöqtələri axtarırlar. Vendor tamamilə qoruna bilər, amma bununla belə, onun tədarükçüsünün infrastrukturunda zəiflik bütün təchizat zəncirlərinə zərər verə bilər. Bu da məlumat sızmasının əsas səbəbi olur.

"ShadowHammer" yaradıcıları "ASUS Live Update"i ilkin yoluxma mənbəyi kimi istifadə edir. Bu proqram əksər yeni ASUS kompüterlərində proqram təminatının (BİOS, UEFİ, tətbiq və drayverlər daxil olmaqla) avtomatik yenilənməsi üçün quraşdırılır. Hücumçular "ASUS"un legitim faylları imzalamaq üçün istifadə etdiyi rəqəmsal sertifikatları oğurlayaraq, proqramın köhnə versiyalarına zərərli kodu tətbiq edirlər. Bundan sonra, troyan quraşdırılmış proqramlar qanuni sertifikatlarla imzalanır və "ASUS"un rəsmi yenilənmə serverlərindən yayılır. Bu da onları demək olar ki, əksər müdafiə həlləri üçün görünməz edir.

Müvafiq proqram təminatından istifadə edən hər kəsin bu hücumun potensial qurbanına çevrilməsi ehtimalı olduğu halda, "ShadowHammer"in yaradıcılarının əsas məqsədi konkret bir neçə yüz cihazı ələ keçirmək olub. "Kaspersky Lab"in araşdırmaçıları aşkar ediblər ki, hər bir bekdorun kodu özündə müəyyən MAC ünvanlarının siyahısını, yəni unikal identifikasiya kodlarını cəmləyib. Bunlar şəbəkə kartlarına tətbiq olunur ki, onlar da öz növbəsində kompüterin şəbəkəyə daxil olmasına zəmin yaradır. Potensial qurban kompüteri işə saldıqda isə fırıldaqçı bu MAC ünvanının siyahıda olub olmadığını yoxlayır. Əgər siyahıda varsa, o zaman növbəti zərərli kod modulu yüklənir. Əks təqdirdə, bu proqram heç bir fəalliyyət göstərmir və məhz buna görə hücum uzun müddət gözdən yayına bilib. Ümumilikdə araşdırmaçılar siyahıda 600-dən çox MAC ünvan aşkarlaya biliblər. Onlar 230-dan çox unikal zərərverici proqram təminatının hədəfi olub. Bunların hər birinin müxtəlif şell-kodu olub.

Zərərli kodun icrası zamanı modul yanaşma istifadə olunub və kodun və ya məlumatların təsadüfən sızmasının qarşısını almaq üçün əlavə tədbirlər görülüb. Bu, hücumçuların aşkarlanmamaq üçün cərrah dəqiqliyi ilə çalışdıqlarını göstərir. Dərin texniki analiz göstərir ki, ShadowHammer çox inkişaf edib və qrupda son dərəcə yüksək inkişaf səviyyəsini nəzərdə tutur.