מה קורה כשכלי העדכון הרשמי של יצרן החומרה שלכם - זה שנועד לשמור על המחשב מעודכן ומאובטח - הופך בעצמו לנשק? זה בדיוק מה שקרה במבצע ShadowHammer. תוקפים הרעילו את שרת העדכונים הרשמי של ASUS, אחת מיצרניות המחשבים הגדולות בעולם, והפיצו דלת אחורית לכחצי מיליון מחשבים - כשכל אחד מהם קיבל אותה עם חתימה דיגיטלית תקפה של היצרן.
הקורבנות לא עשו דבר "לא נכון". הם לא לחצו על קישור חשוד ולא הורידו קובץ פיראטי. הם עשו בדיוק את מה שמומחי אבטחה ממליצים: התקינו עדכון רשמי מהיצרן, דרך הערוץ הרשמי, חתום בתעודה לגיטימית. וזו בדיוק הסיבה שהתקיפה הזו כה מטרידה.
שחזור האירוע - הרעלת שרת העדכונים
בין יוני לנובמבר 2018 הפיצו התוקפים גרסה נגועה של ASUS Live Update Utility - כלי העדכון האוטומטי המותקן מראש על מיליוני מחשבים ניידים ושולחניים של ASUS. הכלי משך את "העדכון" ישירות משרת ה-Live Update הרשמי של החברה, כך שמבחינת המשתמש ומבחינת מנגנוני ההגנה - מדובר היה בעדכון לגיטימי לכל דבר.
🔴 שרשרת האמון שנוצלה - חתימה דיגיטלית תקפה
הקבצים המזויפים נחתמו בתעודות חתימת קוד לגיטימיות של ASUS (על שם "ASUSTeK Computer Inc."). מערכות הפעלה, אנטי-וירוסים וכלי הגנה נבנו כך שיסמכו על חתימה כזו - ולכן העבירו את הדלת האחורית ללא התרעה. האמון בתעודת היצרן היה עצם הפרצה.
🟠 המיקוד הכירורגי - רשימת MAC קשיחה
למרות שכ-500,000 מחשבים קיבלו את העדכון הנגוע, המתקפה כלל לא נועדה לכולם. הדלת האחורית נשאה בתוכה רשימה מוקשחת של יותר מ-600 כתובות MAC ספציפיות. רק מחשבים שכתובת הרשת שלהם התאימה לרשימה - קיבלו את מטען השלב השני מהתוקפים. כל השאר נותרו נגועים אך "רדומים".
🔵 הגילוי - Kaspersky, ינואר 2019
המבצע התגלה על ידי חוקרי Kaspersky בסוף ינואר 2019, לאחר כחצי שנה של הפצה. בטלמטריה של Kaspersky בלבד זוהו למעלה מ-57,000 משתמשים נגועים; המספר הכולל בעולם נותר לא ידוע. החוקרים קישרו את הקוד לכלי הריגול ShadowPad ולמתקפת CCleaner משנת 2017, שבה נפגעו כ-700,000 מערכות בדפוס דומה.
מהתוכנה אל החומרה - למה זה כה משמעותי
ShadowHammer מסמן נקודת מפנה: זו אינה עוד פריצה לספק תוכנה מקרי, אלא ניצול של האמון שאנו נותנים ביצרן החומרה עצמו. אותו אמון שמאפשר לעדכון קושחה או לדרייבר לרוץ בהרשאות הגבוהות ביותר - הוא שהופך יצרן חומרה לוקטור תקיפה קטלני. מי ששולט בערוץ העדכון של היצרן, שולט למעשה בכל מכשיר שנושם דרכו.
אמון עיוור בחתימת היצרן
חתימה דיגיטלית תקפה מוכיחה שהקובץ נחתם במפתח של היצרן - לא שהוא נקי. כשתשתית החתימה של הספק נפגעת, החתימה הופכת מבקרת אבטחה לחותמת אישור עבור הנוזקה.
ערוץ עדכון כנקודת כשל יחידה
כלי עדכון אוטומטי מותקן-מראש עם הרשאות גבוהות הוא יעד אידיאלי: פגיעה בשרת אחד מתורגמת להפצה ממוקדת למאות אלפי נקודות קצה, מבלי שאף משתמש יעשה דבר.
היעדר אימות שלמות עצמאי
הסתמכות בלעדית על החתימה של הספק, בלי בקרת שלמות בלתי-תלויה (ניטור התנהגות, בקרת גרסאות, השוואת hash), הותירה את המתקפה בלתי-נראית לחצי שנה.
מחיר אי-ההכנות - הלקח לארגונים
לסמוך על עדכון חתום מהיצרן - זה לא מספיק
הלקח המרכזי של ShadowHammer אינו "ASUS טעו", אלא שמודל אבטחה המבוסס כולו על אמון בספק חיצוני נשבר ברגע שהספק עצמו נפרץ. ארגון שאין לו יכולת עצמאית לאמת מה רץ על נקודות הקצה שלו - מוותר על ההגנה שלו לטובת רמת האבטחה של החוליה החלשה ביותר בשרשרת האספקה שלו.
אי-ההכנות עולה בשני מישורים: ראשית, חוסר יכולת למנוע - כשאין בקרת שלמות עצמאית, נוזקה חתומה עוברת חלק. שנית, וחמור מכך, חוסר יכולת לגלות - חצי שנה חלפה עד שגורם חיצוני (Kaspersky) חשף את המתקפה, ולא הארגונים הנגועים עצמם.
- מיפוי ספקי החומרה והתוכנה שלכם ודירוגם לפי רמת ההרשאות שיש להם על נקודות הקצה
- נטרול או ניטור הדוק של כלי עדכון אוטומטיים מותקנים-מראש (bloatware) שאינם נדרשים
- בקרת שלמות עצמאית - allowlisting, ניטור התנהגות (EDR) והשוואת hash מול מקור מהימן
- אי-הסתמכות בלעדית על חתימת קוד; יעד: זיהוי אנומליה גם אם הקובץ חתום כדין
- הפרדת רשתות והגבלת תעבורה יוצאת, כדי לחסום את מטען השלב השני מהשגת יעדו
- מעקב אחר פרסומי CERT ו-Threat Intelligence על היצרנים שבשימוש הארגון
- תוכנית Incident Response המכסה תרחיש של עדכון יצרן נגוע ומהלכי ריטרו (rollback)
השורה התחתונה
ShadowHammer הוכיח שהשאלה אינה "האם היצרן שלי אמין", אלא "מה קורה כשגם ערוץ האמון האמין ביותר נפרץ". עדכון רשמי, משרת רשמי, חתום בתעודה לגיטימית - הפיץ דלת אחורית לחצי מיליון מחשבים. מודל הגנה שמסתמך רק על אמון בספק אינו הכנה - הוא הימור.
ארגון מוכן הוא כזה שמניח מראש שכל חוליה בשרשרת האספקה עלולה להיפגע, ובונה שכבת אימות שלמות עצמאית שאינה תלויה בספק. זה ההבדל בין מתקפה שנעצרת בנקודת הקצה - לבין מתקפה שמתגלה חצי שנה מאוחר מדי.
מקורות
- Kaspersky (Securelist) - "Operation ShadowHammer: a high-profile supply chain attack" (2019): https://securelist.com/operation-shadowhammer-a-high-profile-supply-chain-attack/90380/
- CERT-EU, Security Advisory 2019-007 - ASUS Live Update Supply Chain Attack: https://cert.europa.eu/publications/security-advisories/2019-007/
- Kaspersky - ShadowPad backdoor analysis (קשר טכני ל-ShadowHammer)
- Cisco Talos / Avast - CCleaner Supply Chain Attack (2017), כ-700 אלף מערכות שדיווחו לשרת השליטה
- MITRE ATT&CK - T1195.002 (Supply Chain Compromise: Compromise Software Supply Chain), T1553.002 (Code Signing)