Un troyano crea una puerta trasera en el programa de actualizaciones de un millón de ordenadores ASUS

Actualizado 27/03/2019 10:40:26 CET
Un troyano crea una puerta trasera en el programa de actualizaciones de 57.000 o
KASPERSKY

   MADRID, 26 Mar. (Portaltic/EP) -

   Un virus troyano alojado en la cadena de suministro oficial de ASUS ha conseguido afectar a más de 57.000 usuarios de sus ordenadores y ha incorporado una puerta trasera en el programa de actualización de 'software' de la compañía, Live Update, que se estima que se ha distribuido entre un millón de equipos de la marca en total.

Investigaciones de la compañía especializada en ciberseguridad Kaspersky Lab han confirmado que un troyano, al que han llamado ShadowHammer, se alojó en el programa oficial de actualización de 'software' ASUS Live Update.

Según los expertos de Kaspersky, el troyano se introdujo en el programa de actualizaciones de ASUS en la cadena de suministro tanto de ordenadores portátiles como de sobremesa.

Este tipo de ataques se dirige contra puntos débiles concretos en los sistemas interconectados de recursos humanos, organizativos, materiales e intelectuales implicados en el ciclo de vida del producto, desde el desarrollo inicial hasta llegar al usuario final, como explica Kaspersky.

Los cibercriminales detrás de ShadowHammer utilizaron la utilidad de Live Update, preinstalada en los ordenadores de ASUS, como foco de infección, tras acceder a los servidores de ASUS dedicados a esta función.

Para ello, emplearon certificados digitales robados utilizados por ASUS para firmar binarios legítimos, y manipularon versiones anteriores del 'software' de actualizaciones de ASUS instalando su propio código malicioso.

Las versiones troyanas de la utilidad se firmaron con certificados legítimos, alojándose y distribuyéndose desde los servidores oficiales de actualizaciones de la compañía taiwanesa, haciéndolas prácticamente invisibles. ShadowHammer se envió entre junio y noviembre de 2018.

Mediante el acceso a los servidores de Live Update, los atacantes crearon puerta trasera con acceso a funciones como la BIOS, la interfaz entre el sistema operativo y el 'firmware' (UEFI) y las actualizaciones de 'software'.

Los estudios de Kaspersky han demostrado que más de 57.000 usuarios de sus soluciones de seguridad utilizaban versiones de este programa infectado, aunque se estima que se distribuyó a aproximadamente un millón de personas en total, desde su localización el 29 de enero de este año, según informa el medio Motherboard.

Sin embargo, los investigadores afirman que los ciberdelincuentes no atacaron a la totalidad de usuarios afectados, sino que sus ataques se dirigieron a 600 direcciones de 'Media Access Control' (MAC) específicas. Los atacantes ya tenían conocimiento de los usuarios a los que se dirigían, según Kaspersky.

Los ataques se han dirigido en su mayor parte a usuarios de Rusia (en un 18 por ciento de los casos), seguido de otros países como Alemania, Francia, Italia y Estados Unidos. España ha sido el sexto país más afectado, registrando menos de un 4 por ciento de los ataques.

El director del equipo de análisis e investigación global de Kaspersky, Costin Raiu, explicó a Motherboard que "si no eres un objetivo, el 'malware' es prácticamente silencioso", aunque sigue siendo una puerta trasera para los atacantes en todos los equipos donde se encuentre.

Además, las investigaciones de Kaspersky han detectado que estas mismas técnicas fueron usadas contra otros tres proveedores, los cuales ya han sido notificados junto con ASUS, y que ShadowHammer está relacionado con los ataques de ShadowPad y CCleaner, por lo que se cree que fue en este último ataque donde obtuvieron acceso a los servidores de ASUS, como recoge Motherboard.

NO HA AFECTADO A USUARIOS, SEGÚN ASUS

ASUS ha asegurado que el ataque que ha sufrido su sistema de actualizaciones ha sido de tipo Amenaza Persistente Avanzada (APT) llevado a cabo por "un par de países y dirigido hacia organizaciones, países o entidades, no individuos", como consta en un comunicado remitido a Europa Press.

La compañía taiwanesa ha confirmado que el ataque ha afectado a "un grupo de usuarios pequeño y concreto", de los que "un reducido número de dispositivos" se ha infectado con código malicioso como parte de "un sofisticado ataque" a los servidores de Live Update.

Asimismo, ASUS ha defendido también que la nueva actualización de Live Update, en la versión 3.6.8, "implementa múltiples mecanismos de verificación de seguridad y un sistema de cifrado nuevo que previenen" los ataques por actualizaciones.

El fabricante concluye asegurando haber "reforzado nuestra arquitectura 'software' del servidor al usuario final para evitar que otros ataques similares puedan ocurrir en el futuro", y ha compartido también una herramienta de diagnóstico para comprobar los sistemas afectados.

Para leer más