מה קורה כשכלי העדכון הרשמי של יצרן החומרה שלכם - זה שנועד לשמור על המחשב מעודכן ומאובטח - הופך בעצמו לנשק? זה בדיוק מה שקרה במבצע ShadowHammer. תוקפים הרעילו את שרת העדכונים הרשמי של ASUS, אחת מיצרניות המחשבים הגדולות בעולם, והפיצו דלת אחורית לכחצי מיליון מחשבים - כשכל אחד מהם קיבל אותה עם חתימה דיגיטלית תקפה של היצרן.

הקורבנות לא עשו דבר "לא נכון". הם לא לחצו על קישור חשוד ולא הורידו קובץ פיראטי. הם עשו בדיוק את מה שמומחי אבטחה ממליצים: התקינו עדכון רשמי מהיצרן, דרך הערוץ הרשמי, חתום בתעודה לגיטימית. וזו בדיוק הסיבה שהתקיפה הזו כה מטרידה.

~500K
מחשבים שקיבלו את העדכון הנגוע
~600
כתובות MAC למיקוד כירורגי
6 חוד'
הפצה עד הגילוי (6-11/2018)

שחזור האירוע - הרעלת שרת העדכונים

בין יוני לנובמבר 2018 הפיצו התוקפים גרסה נגועה של ASUS Live Update Utility - כלי העדכון האוטומטי המותקן מראש על מיליוני מחשבים ניידים ושולחניים של ASUS. הכלי משך את "העדכון" ישירות משרת ה-Live Update הרשמי של החברה, כך שמבחינת המשתמש ומבחינת מנגנוני ההגנה - מדובר היה בעדכון לגיטימי לכל דבר.

🔴 שרשרת האמון שנוצלה - חתימה דיגיטלית תקפה

הקבצים המזויפים נחתמו בתעודות חתימת קוד לגיטימיות של ASUS (על שם "ASUSTeK Computer Inc."). מערכות הפעלה, אנטי-וירוסים וכלי הגנה נבנו כך שיסמכו על חתימה כזו - ולכן העבירו את הדלת האחורית ללא התרעה. האמון בתעודת היצרן היה עצם הפרצה.

🟠 המיקוד הכירורגי - רשימת MAC קשיחה

למרות שכ-500,000 מחשבים קיבלו את העדכון הנגוע, המתקפה כלל לא נועדה לכולם. הדלת האחורית נשאה בתוכה רשימה מוקשחת של יותר מ-600 כתובות MAC ספציפיות. רק מחשבים שכתובת הרשת שלהם התאימה לרשימה - קיבלו את מטען השלב השני מהתוקפים. כל השאר נותרו נגועים אך "רדומים".

🔵 הגילוי - Kaspersky, ינואר 2019

המבצע התגלה על ידי חוקרי Kaspersky בסוף ינואר 2019, לאחר כחצי שנה של הפצה. בטלמטריה של Kaspersky בלבד זוהו למעלה מ-57,000 משתמשים נגועים; המספר הכולל בעולם נותר לא ידוע. החוקרים קישרו את הקוד לכלי הריגול ShadowPad ולמתקפת CCleaner משנת 2017, שבה נפגעו כ-700,000 מערכות בדפוס דומה.

מהתוכנה אל החומרה - למה זה כה משמעותי

ShadowHammer מסמן נקודת מפנה: זו אינה עוד פריצה לספק תוכנה מקרי, אלא ניצול של האמון שאנו נותנים ביצרן החומרה עצמו. אותו אמון שמאפשר לעדכון קושחה או לדרייבר לרוץ בהרשאות הגבוהות ביותר - הוא שהופך יצרן חומרה לוקטור תקיפה קטלני. מי ששולט בערוץ העדכון של היצרן, שולט למעשה בכל מכשיר שנושם דרכו.

✍️

אמון עיוור בחתימת היצרן

חתימה דיגיטלית תקפה מוכיחה שהקובץ נחתם במפתח של היצרן - לא שהוא נקי. כשתשתית החתימה של הספק נפגעת, החתימה הופכת מבקרת אבטחה לחותמת אישור עבור הנוזקה.

📡

ערוץ עדכון כנקודת כשל יחידה

כלי עדכון אוטומטי מותקן-מראש עם הרשאות גבוהות הוא יעד אידיאלי: פגיעה בשרת אחד מתורגמת להפצה ממוקדת למאות אלפי נקודות קצה, מבלי שאף משתמש יעשה דבר.

👁️

היעדר אימות שלמות עצמאי

הסתמכות בלעדית על החתימה של הספק, בלי בקרת שלמות בלתי-תלויה (ניטור התנהגות, בקרת גרסאות, השוואת hash), הותירה את המתקפה בלתי-נראית לחצי שנה.

מחיר אי-ההכנות - הלקח לארגונים

לסמוך על עדכון חתום מהיצרן - זה לא מספיק

הלקח המרכזי של ShadowHammer אינו "ASUS טעו", אלא שמודל אבטחה המבוסס כולו על אמון בספק חיצוני נשבר ברגע שהספק עצמו נפרץ. ארגון שאין לו יכולת עצמאית לאמת מה רץ על נקודות הקצה שלו - מוותר על ההגנה שלו לטובת רמת האבטחה של החוליה החלשה ביותר בשרשרת האספקה שלו.

אי-ההכנות עולה בשני מישורים: ראשית, חוסר יכולת למנוע - כשאין בקרת שלמות עצמאית, נוזקה חתומה עוברת חלק. שנית, וחמור מכך, חוסר יכולת לגלות - חצי שנה חלפה עד שגורם חיצוני (Kaspersky) חשף את המתקפה, ולא הארגונים הנגועים עצמם.

השורה התחתונה

ShadowHammer הוכיח שהשאלה אינה "האם היצרן שלי אמין", אלא "מה קורה כשגם ערוץ האמון האמין ביותר נפרץ". עדכון רשמי, משרת רשמי, חתום בתעודה לגיטימית - הפיץ דלת אחורית לחצי מיליון מחשבים. מודל הגנה שמסתמך רק על אמון בספק אינו הכנה - הוא הימור.

ארגון מוכן הוא כזה שמניח מראש שכל חוליה בשרשרת האספקה עלולה להיפגע, ובונה שכבת אימות שלמות עצמאית שאינה תלויה בספק. זה ההבדל בין מתקפה שנעצרת בנקודת הקצה - לבין מתקפה שמתגלה חצי שנה מאוחר מדי.

מקורות

  1. Kaspersky (Securelist) - "Operation ShadowHammer: a high-profile supply chain attack" (2019): https://securelist.com/operation-shadowhammer-a-high-profile-supply-chain-attack/90380/
  2. CERT-EU, Security Advisory 2019-007 - ASUS Live Update Supply Chain Attack: https://cert.europa.eu/publications/security-advisories/2019-007/
  3. Kaspersky - ShadowPad backdoor analysis (קשר טכני ל-ShadowHammer)
  4. Cisco Talos / Avast - CCleaner Supply Chain Attack (2017), כ-700 אלף מערכות שדיווחו לשרת השליטה
  5. MITRE ATT&CK - T1195.002 (Supply Chain Compromise: Compromise Software Supply Chain), T1553.002 (Code Signing)