El objetivo del ataque ShadowHammer era dirigirse quirúrgicamente a un grupo de usuarios
Atacantes desconocidos han comprometido un servidor de actualización que pertenece al fabricante taiwanés de computadoras y electrónica ASUS y lo usaron para abrir una puerta trasera maliciosa en una gran cantidad de clientes, según descubrieron investigadores de Kaspersky Lab.
A juzgar por la información codificada en el malware, el objetivo de los atacantes era comprometer alrededor de 600 computadoras específicas, pero se cree que el malware afectó finalmente a más de un millón de usuarios.
Los investigadores de Kaspersky Lab, que descubrieron el malware en enero de 2019 y notificaron a ASUS la situación, han creado una herramienta que los usuarios pueden usar para verificar si se encuentran entre los que instalaron la actualización con el troyano. También pueden realizar la misma comprobación ingresando la dirección MAC de su dispositivo ASUS en esta herramienta en línea.
¿Cómo ocurrió todo?
Los investigadores de Kaspersky Lab dicen que el ataque se desarrolló entre junio y noviembre de 2018 e involucró la utilidad de actualización en vivo de ASUS (ASUS Live Update Utility), que viene preinstalada en la mayoría de las computadoras de ASUS y se usa para actualizar automáticamente ciertos componentes como BIOS, UEFI, controladores y aplicaciones.
"El objetivo del ataque era dirigirse quirúrgicamente a un grupo desconocido de usuarios, que fueron identificados por las direcciones MAC de sus adaptadores de red. Para lograr esto, los atacantes habían codificado en una lista de direcciones MAC en las muestras troyanas y esta lista se usó para identificar los objetivos reales de esta operación masiva", compartieron los investigadores.
“Pudimos extraer más de 600 direcciones MAC únicas de más de 200 muestras utilizadas en este ataque. Por supuesto, podría haber por ahí otras muestras con diferentes direcciones MAC en su lista".
Los investigadores notificaron a ASUS sobre la vulnerabilidad, pero afirman que la compañía negó que haya sido comprometida su infraestructura de firmas. (Los hallazgos de Kaspersky Lab fueron verificados independientemente por Symantec).
Los investigadores dijeron a Kim Zetter que parece que el atacante no tuvo acceso a toda la infraestructura de ASUS, solo una parte de la infraestructura de firmas.
Además, es posible que hayan logrado ese acceso a través de un ataque de la cadena de suministro de 2017 que resultó en la entrega de una versión de puerta trasera de la popular utilidad CCleaner.
Tanto en ese como en este caso, los atacantes infectaron una gran cantidad de dispositivos, pero aparentemente se centraban en objetivos muy específicos.
También se cree que el grupo es el mismo detrás del incidente ShadowPad de 2017, que fue otro ataque a la cadena de suministro que involucró software de administración de servidores de puerta trasera utilizado por cientos de grandes empresas de todo el mundo.
Asus Live Updater was used in a big supply chain attack we dubbed Operation #ShadowHammer. We estimate this may have affected over 1 million computer users between June and Nov 2018. https://t.co/jTij3NwpSs
— Costin Raiu (@craiu) 25 de marzo de 2019
Sobre el malware
Los investigadores analizaron la utilidad de actualización en vivo de ASUS, que se firmó con un certificado de ASUS válido y comprometido. Descubrieron que, cuando se encontraba en una de las aproximadamente 600 máquinas seleccionadas, se pondría en contacto con un servidor de C&C y descargaría una puerta trasera de segunda etapa. Desafortunadamente, no han podido conseguirlo.
Creen que toda la operación permaneció secreta durante tanto tiempo porque aunque la utilidad de puerta trasera ASUS se instaló en cientos de miles de dispositivos, no haría nada si el dispositivo no estuviera en la lista predefinida.
Aún así, abre efectivamente una puerta trasera en el sistema, por lo que se recomienda a los propietarios de dispositivos ASUS que verifiquen si lo han instalado y que se pongan en contacto con Kaspersky Lab para obtener asistencia.
Kaspersky ha notificado a ASUS y a otras compañías de antivirus sobre el ataque mientras la investigación sobre el asunto aún está en curso.
La firma de antivirus también ha lanzado una herramienta automatizada para que los usuarios verifiquen si fueron atacados específicamente por la amenaza persistente avanzada de ShadowHammer.
