Hackers lograron instalar una puerta trasera en el software de ASUS infectando cientos de miles de ordenadores con malware. Se trata de un sofisticado ataque en la cadena de suministro de software llamado "Operación ShadowHammer" y descubierto por investigadores de seguridad de Kaspersky en enero de 2019.
El ataque involucraba específicamente a la herramienta ASUS Live Update Utility, una utilidad que viene preinstalada en los ordenadores ASUS y sirve para actualizar de forma automática componentes como los controladores del sistema, la BIOS/UEFI, y algunas aplicaciones oficiales de la misma ASUS. Los hackers atacaron ese eslabón débil en la cadena de suministro y distribuyeron su malware usando los propios servidores de ASUS.
Symantec también analizó el ataque y determinó que ASUS había estado distribuyendo malware a través de su sistema de actualizaciones automática desde junio de 2018 hasta por lo menos octubre del mismo año. Mientras Kaspersky estima los afectados en alrededor de más de un millón, Symantect calcula que al menos medio millón de sistemas fueron atacados.
Aunque aún no se sabe ni quienes son los responsables ni sus intenciones, Kaspersky determinó que el objetivo inicial era dirigirse quirúrgicamente a un grupo desconocido de usuarios identificando las direcciones MAC de sus adaptadores de red. Aún no está claro que iban a hacer exactamente con esos ordenadores identificados.
De momento, ASUS no ha emitido ningún comunicado oficial al respecto. Si tienes un ordenador de la marca puedes usar la herramienta de Kaspersky para verificar si tu dirección MAC es una de la que los hackers aprovecharon.
Qué es un ataque en la cadena de suministro
Explicado de forma sencilla, un ataque en la cadena de suministro es un tipo de ciberataque en el que se busca dañar el elemento más débil en la red de distribución y usarlo como caballo de Troya. A través de estos ataques se intenta explotar servicios y software de terceros para comprometer un objetivo final.
En este caso específico, se busca atacar la utilidad de ASUS para distribuir el malware y atacar un objetivo final, en lugar de, por ejemplo, atacar directamente al sistema operativo. Secuestrar actualizaciones de software es una de las formas más comunes de atacar la cadena de suministro.
Las cadenas de suministro de software involucran muchos elementos interconectados, atacando el eslabón más débil de ellos se puede hacer mucho daño. Imagina que es más fácil robar la combinación de una caja fuerte a su dueño en lugar de taladrar la puerta.
ShadowHammer era un tipo de ataque bastante sofisticado, y que logró permanecer oculto por mucho tiempo dado que los archivos infectados estaban firmados con certificados digitales legítimos y además estaban alojados en los servidores de ASUS.
Un problema cada vez más presente
ASUS no es ni de lejos la primera ni será la última víctima de un ataque de este tipo, de hecho, son cada vez más comunes y están aumentando peligrosamente. Es fácil poner un ejemplo reciente que muchos recordarán: el de CCleaner.
La popular herramienta de mantenimiento en Windows sufrió en 2017 un ataque en la cadena de distribución, es decir, había sido hackeada y estaba siendo usada para distribuir malware a sus millones de usuarios sin que nadie supiese.
Otros casos que mencionamos aquí en Genbeta, por ejemplo, pasaron cuando se encontraron aplicaciones para Andriod con malware para Windows en la Play Store de Google, algo que podría sonar extraño hasta que entiendes que se trata de un ataque en la cadena de suministro.
145 aplicaciones de la Play Store indicaban que los desarrolladores de esas apps estaban creando su software en equipos con Windows comprometidos y esos archivos pueden colarse a la Play Store cuando este sube su app.
El eslabón más débil aquí sería el desarrollador, y ataques similares tuvieron lugar con el malware XcodeGhost que modificada el IDE de Xcode para infectar aplicaciones para iOS, y que acabó infectado apps muy usadas como WeChat.
Ver 3 comentarios