Operation ShadowHammer

Para peneliti menemukan bahwa ASUS bukan satu-satunya perusahaan yang terkena dampak serangan ShadowHammer.

Peneliti keamanan dari Kaspersky Labs menerbitkan laporan yang memberikan rincian lebih detail perihal Operasi ShadowHammer – serangan peretasan canggih instaler ASUS Live Update, yakni dengan menyuntikkan malware backdoor kedalam instaler tersebut, sehingga menginfeksi puluhan ribu pengguna.

Menurut penelitian, serangan berbahaya itu tidak hanya mempengaruhi raksasa teknologi ASUS, tetapi juga industri game. Tiga perusahaan game berbeda ditemukan mendistribusikan binari yang ditandatangani secara digital (digitally signed binaries), sehingga mampu melewati scanning semua jenis perangkat lunak keamanan, dan menginstal backdoor melalui instaler ASUS Live Update.

ESET, salah satu perusahaan perangkat lunak keamanan, yang meliput insiden tersebut pada bulan Maret, mencatat bahwa jumlah pengguna yang terinfeksi, yang tertinggi adalah di negara-negara Asia. Dengan bagian paling besar pengguna terinfeksi berasal dari Thailand. Melihat tingginya popularitas instaler game, seperti game first-person shooter (FPS), Point Blank; jumlah yang terinfeksi mungkin mencapai “puluhan atau ratusan ribu.”

Mempertimbangkan ruang lingkup dan tingkat kecanggihan serangan-serangan ini, para peneliti percaya bahwa peretasan ini adalah bagian dari operasi internasional yang jauh lebih besar, yang juga termasuk insiden CCleaner:

Kami percaya ini menjadi hasil dari serangan rantai pasokan (supply chain attack) yang canggih, yang mirip atau bahkan melampaui insiden ShadowPad dan CCleaner, dalam tahap kompleksitas dan teknik serangannya. Alasan mengapa hal itu tetap tidak terdeteksi untuk waktu yang lama adalah salah satunya karena bahwasanya perangkat lunak trojan tersebut ditandatangani dengan sertifikat yang sah (mis. “ASUSTeK Computer Inc.”).

Yang terinstal tampaknya merupakan malware tahap pertama yang bertujuan agar memperoleh akses ke komputer dan mengirimkan ID unik ke server C2 yang dikendalikan oleh peretas. Ini memungkinkan aktor jahat dapat memutuskan perangkat mana yang akan ditargetkan pada serangan tahap kedua.

Peretasan Microsoft development tools yang kemudian digunakan untuk menandatangani secara digital instaler resmi

Microsoft Visual Studio, yang merupakan development tool paling populer, berhasil diretas tanpa disadari oleh pengembang game. Engine tersebut kemudian digunakan untuk menandatangani game secara digital sebelum didistribusikan ke publik, yang akibatnya menyebabkan perusahaan yang sah mendistribusikan instaler malware, karena mampu melewati perlindungan perangkat lunak keamanan pada komputer korban. Ini membuktikan bahwa peretas meningkatkan serangan mereka, seperti dalam kasus ASUS (yang sekarang sudah diperbaiki), hanya file pembaruan yang dirusak dan kemudian server yang sudah terinfeksi digunakan untuk distribusi malware.

Peneliti Kaspersky mengatakan bahwa jenis serangan ini sangat diremehkan dan banyak pengembang tidak menyadari alat mereka menjadi backdoor sejak awal. Perusahaan game tersebut menggunakan tool yg sudah terinfeksi trojan untuk membuat instaler berbahaya tanpa menyadarinya, yang mengarah ke para pengguna, dan dengan mudahnya menyebar karena perangkat lunak keamanan mempercayai instaler tersebut.

Adapun jumlah yang terinfeksi, alat keamanan Kaspersky mendeteksi sekitar 92.000 telah terinfeksi sejauh ini, dengan 55 persen berasal dari Thailand, 13 dari Taiwan dan 13 dari Filipina, sedangkan sisanya yang terkena dampak berasal dari Vietnam, Hong Kong dan Indonesia. Terlepas dari angka-angka ini, para ahli percaya bahwa ruang lingkupnya jauh lebih luas, karena banyak pengguna yang menggunakan perangkat lunak keamanan yang tidak diperbarui, tidak memadai atau bahkan sama sekali tidak menggunakannya.

Infestation: Survivor Stories dan Point Blank adalah beberapa judul game yang harus diwaspadai

Para peneliti menemukan bahwa pengembang game Korea Selatan Zepetto Co., yang berada di balik game FPS populer Point Blank, termasuk di antara tiga perusahaan yang terkena dampak peretasan. Peneliti Kaspersky mencatat bahwa sertifikat digital masih belum dicabut pada awal April, meskipun perusahaan itu berhenti menggunakannya sejak Februari.

Korban lain yang terkena dampak ShadowHammer adalah Electronics Extreme Company Limited, pengembang yang berbasis di Thailand. Judul yang terinfeksi adalah Infestation: Survivor Stories (atau The War Z), yang merupakan game survival zombie pasca-apokaliptik. Namun, ada banyak kontroversi di sekitarnya, karena kode sumber untuk game itu dicuri pada tahun 2013 dan kemudian dirilis ke publik. Proyek ini kemudian diambil oleh perusahaan lain, yakni seorang aktor jahat yang kemudian merilis game ini dengan versi yang sudah terinfeksi malware. Kaspersky Lab mengatakan mereka menemukan setidaknya tiga sampel yang terinfeksi trojan yang menyertakan sertifikat valid milik Electronics Extreme Company Limited.