Actualización del software ASUS utilizada por los hackers para atacar a millones de usuarios

Hasta la fecha, el hacker CCleaner que ocurrió en septiembre de 2017 fue el mayor ataque cibernético de todos los tiempos. Fue testigo del mayor ataque a la cadena de suministro que infectó a casi 2,3 millones de usuarios.

Sin embargo, esto se ha visto eclipsado por el hecho de que los investigadores han seguido el rastro de un ataque inimaginable a la cadena de suministro. Este ataque ha afectado a más de un millón de ordenadores. Según el informe, los hackers han atacado los ordenadores fabricados por ASUS.

¿Qué son los ataques a la cadena de suministro?

Los ataques a la cadena de suministro son ataques en los que los hackers generan una plataforma de scripts que parece genuina. Esto crea ambigüedad, lo que facilita que los atacantes propaguen la infección de malware de forma legítima para ganar capital.

¿De qué se trata el Hack?

Según el blog publicado por Kaspersky:

«Un actor de amenazas modificó la utilidad ASUS Live Update, que ofrece BIOS, UEFI, y actualizaciones de software para portátiles y ordenadores de sobremesa ASUS, añadieron una puerta trasera para la utilidad, y luego la distribuyó a los usuarios a través de los canales oficiales.

La utilidad troyanizada fue firmada con un certificado legítimo y fue en el servidor oficial de ASUS dedicado a las actualizaciones, lo que le permitió permanecen sin ser detectados durante mucho tiempo. Los criminales incluso se aseguraron de que el tamaño del archivo de la utilidad maliciosa siguió siendo la misma que la original».

Kaspersky ha nombrado el ataque ShadowHammer y los investigadores lo están vinculando al malware denominado ShadowPad que se ha utilizado anteriormente en ataques a la cadena de suministro. En este ataque, los hackers usaron una vieja actualización de ASUS del año 2015 y la modificaron inteligente y silenciosamente lo empujó a los ordenadores de ASUS. Esto fue descubierta por Kaspersky este enero y lo mismo fue reportado a la compañía para planear la estrategia de defensa.

Según las noticias, los clientes de ASUS no fueron informados de lo mismo. hasta que Kaspersky anunció el ataque. Según las estadísticas de Kaspersky:

«Más de 57.000 usuarios de los productos de Kaspersky Lab han instalado la utilidad, pero estimamos que fue distribuida a un millón de personas en total. Sin embargo, los ciberdelincuentes que estaban detrás de él no estaban interesados en todas ellas, sino que se dirigían únicamente a 600 direcciones MAC específicas, para las que los hashes estaban codificados en diferentes versiones de la utilidad. Para comprobar si tu dirección MAC está en la lista de objetivos, utiliza nuestra herramienta, que encontrarás aquí».

ASUS finalmente ha comenzado a llegar a sus clientes y ahora está ayudar a los usuarios afectados a eliminar los riesgos de seguridad. Según una declaración dado por la compañía:

La compañía ha lanzado una nueva versión actualizada del software Live Update, es decir, ver. 3.6.8. Con ello, la empresa ha incorporado diversos mecanismos para verificar la seguridad, de modo que los hackers no puedan manipular las actualizaciones de software. También se ha fusionado un método de cifrado de extremo a extremo más avanzado para aumentar el mecanismo de defensa y una arquitectura avanzada de servidor a usuario final para evitar futuros ataques.

También lea: 2019 Puede tener malware en todos los dispositivos, dice McAfee

¿Quiénes son las víctimas?

Se dice que el ataque de ShadowHammer se distribuye a través de 1 Millones de máquinas ASUS, sin embargo, no todas han sido impactadas por el ataque excepto las 600 máquinas con direcciones MAC específicas que eran el objetivo principal. 

Kaspersky ha publicado una lista de direcciones MAC, que sospechan son las más afectadas para poder contactar a las víctimas y encontrar la razón principal del ataque.

Envolviendo palabras:

Ha habido muchos casos en los que las actualizaciones contaminadas han sido los culpables de los ataques a la cadena de suministro, que por lo demás eran auténticos plataformas de software. El brote de NotPetya en mayo de 2017, el ataque de CCleaner en Junio de 2017 son algunos ejemplos de los ataques a la Cadena de Suministro comúnmente conocidos como Ataques ShadowPad.

Si bien estos fueron considerados los ataques más grandes del tiempo, un compañía tan grande como ASUS siendo atacada muestran la amarga verdad de cómo los atacantes comprometer los modelos de la cadena de suministro para ganar capital. 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *