ShadowHammer: actualizaciones maliciosas para laptops ASUS

26 Mar 2019

Gracias a una nueva tecnología en nuestros productos capaz de detectar ataques a la cadena de suministro, nuestros expertos han descubierto el que parece ser uno de los incidentes relacionados con la cadena de suministro más importantes (¿te acuerdas de CCleaner? Pues este es aún más grande). Un actor de amenazas modificó ASUS Live Update Utility, que proporciona BIOS, UEFI y actualizaciones de software a las laptops y computadoras de escritorio ASUS, añadió una puerta trasera y la distribuyó a los usuarios a través de canales oficiales.

Esta herramienta equipada con un troyano recibió la firma de un certificado legítimo y se alojó en el servidor oficial de ASUS dedicado a las actualizaciones, esto le permitió pasar desapercibida durante mucho tiempo. Los ciberdelincuentes incluso se aseguraron de que el tamaño del archivo del servicio malicioso fuera igual que el del original.

Según nuestras estadísticas, más de 57,000 usuarios de los productos de Kaspersky Lab han instalado este servicio con puerta trasera, pero estimamos que se haya distribuido a 1 millón de personas en total. No obstante, los ciberdelincuentes solo estaban interesados en 600 direcciones MAC específicas, que han visto cómo se ha codificado el hash en las diferentes versiones de esta herramienta.

Durante la investigación del ataque, descubrimos que se habían utilizado estas mismas técnicas con el software de otros tres proveedores. Evidentemente, informamos a ASUS y a las demás compañías sobre el ataque. A partir de ahora, todas las soluciones de Kaspersky Lab detectan y bloquean los servicios con este troyano, pero te aconsejamos que actualices ASUS Live Update Utility si lo utilizas. Mientras, nuestra investigación sigue en marcha.

Si quieres descubrir más sobre uno de los ataques a la cadena de suministro más grandes, indagar en la información técnica, comprobar la inversión de control, conocer los objetivos y aprender a protegerte de ataques como este, te invitamos a visitar la SAS del 2019, una conferencia de seguridad para todos que abre sus puertas el 8 de abril en Singapur. En ella, tendremos una charla dedicada a la APT ShadowHammer con información muy interesante. ¡Date prisa, el cupo ya casi está completo!

Lee el informe completo en Securelist, que también estará disponible durante la SAS. ¡No te lo pierdas!