Operación ShadowHammer. Así es como se ha denominado a una nueva campaña de amenazas persistentes avanzadas (APT) que está afectando al fabricante de dispositivos ASUS, y a un gran número de sus usuarios en todo el mundo. Podrían ser más de un millón los equipos en los que se ha instalado un software malicioso que ha atacado a la compañía, y 57.000 los usuarios que han sido afectados por él hasta el momento. 

¿Qué es lo que ha ocurrido? Un grupo cibercriminal ha realizado un sofisticado ataque a los servidores de ASUS que gestionaban un software de la compañía denominado ASUS Live Update. Se trata de software de actualización que provee actualizaciones de la BIOS, controladores y herramientas oficiales de ASUS en los equipos.

Al comprometer los servidores, que están conectados a los servidores de los usuarios para recibir actualizaciones, los atacantes han logrado distribuir el malware a través de ellos. El malware se instalaba en los equipos de las víctimas haciéndose pasar por la herramienta legítima, gracias a que usaban el certificado de verificación de la propia ASUS.

Se estima que por lo menos un millón de los equipos que utilizan esta herramienta se han visto afectados.

A pesar del millón de equipos potencialmente afectados, según apunta la investigación, los cibercriminales detrás del ataque no tenían la intención de lanzar un ataque a gran escala, ya que en realidad solamente estaban interesados en unos pocos cientos de equipos ASUS concretos, ya que 600 direcciones MAC estaban escritas en el código del software malicioso.

Es por ello que Kaspersky Lab tras las investigaciones apunta a que se ha tratado de un ciberataque sofisticado, complejo, avanzado y sobre todo: dirigido. 

Por su parte, ASUS ha admitido en un comunicado que efectivamente, esto ha ocurrido así. Explican que han implementado un parche en la última versión del software ASUS Live Update que introduce mecanismos de seguridad que evita la manipulación de otros software maliciosos.

El fabricante de seguridad Kaspersky Lab, quien ha llevado a cabo la investigación, ha puesto a disposición de los usuarios una web en la que se puede comprobar si tu dispositivo ASUS puede estar afectado por esta amenaza a través de la dirección MAC del equipo.

¿En qué consiste ShadowHammer? Un ataque “prácticamente invisible”

Pero esta amenaza va aún más allá. De hecho, Kaspersky alerta de que ASUS es solo el primero de otros fabricantes que podrían estar afectados por este sofisticado ataque.

Según explican en un post con los detalles de la investigación, esta amenaza consiste en lo que se denomina un “ataque a la cadena de suministro“, uno de los más peligrosos que existen en la actualidad, como explican desde Kaspersky Lab.

La compañía ha descubierto esta nueva campaña de ataques en una investigación cuyos resultados dan a conocer ahora, pero que se produjo entre junio y noviembre de 2018.

El ataque a la cadena de suministro es uno de los vectores más peligrosos usados por los cibercriminales, y debido a su eficacia, se están convirtiendo en uno de los más usados, cuando se trata de ataques avanzados.

Algunos ejemplos recientes de este tipo de ataques los encontramos en ShadowPad, una puerta trasera que estaba oculta en un software usado por empresas de todo el mundo.

En este caso, los responsables de ShadowHammer dirigieron sus ataques contra la utilidad ASUS Live Update como fuente inicial de infección.

La enfocaron a esta herramienta porque se trata de una utilidad preinstalada en muchos de los nuevos ordenadores de ASUS, que proporciona actualizaciones automáticas de la BIOS, controladores y aplicaciones, lo que aumenta la eficacia del ataque. 

“Usando certificados digitales robados utilizados por ASUS para firmar binarios legítimos, los atacantes manipularon versiones anteriores del software ASUS instalando su propio código malicioso”, explica la investigación de Karspersky, añadiendo que “las versiones troyanas de la utilidad se firmaron con certificados legítimos, alojándose y distribuyéndose desde los servidores oficiales de actualizaciones de ASUS, haciéndolas prácticamente invisibles para la gran mayoría de las soluciones de protección“.

Ataques que aprovechan la vulnerabilidad de terceros

Los ataques a la cadena de suministro se suelen dirigir contra “puntos débiles concretos en los sistemas interconectados de recursos humanos, organizativos, materiales e intelectuales implicados en el ciclo de vida del producto, desde el desarrollo inicial hasta llegar al usuario final”, explican desde Kaspersky Lab. 

Y es que, aunque la infraestructura de un proveedor sea segura, eso no significa que no existan vulnerabilidades en las instalaciones de sus proveedores, que podrían llegar a sabotear la cadena de suministro, provocando una brecha de datos muy grave.

“Los proveedores seleccionados son objetivos muy atractivos para grupos de amenazas persistentes avanzadas, que podrían querer aprovecharse de su amplia base de clientes. Todavía no está muy claro cuál fue el objetivo final de los cibercriminales y continuamos investigando quién estuvo detrás del ataque”, señala Vitaly Kamluk, directora del Equipo de Análisis e Investigación Global de Kaspersky Lab.

La especialista apunta a la relación que han encontrado con otros incidentes, como ShadowPad y CCleaner, y asegura que esta campaña es “un ejemplo más de lo sofisticado y peligroso que puede llegar a ser un ataque de cadena de suministro inteligente en la actualidad”.

Deja un comentario