ASUS sufrió un ciberataque que forzó la instalación de actualizaciones maliciosas

Leer nuestras noticias tiene...

¡¡PREMIO!!

Te acabas de llevar 10 ENTRADAS para la feria del RAM de 2019. El PRIMERO que nos diga en la publicación de Facebook que las ha encontrado se las lleva!! ¡¡CORRE!!

** Solo se permite un premio por persona **

La firma de seguridad Kaspersky Lab ha confirmado que ASUS, uno de los OEMs más importantes del mundo, sufrió un ciberataque muy grave que acabó comprometiendo uno de sus servidores, y afectando a miles de usuarios.

Os ponemos en situación. Dicho servidor se ocupaba del sistema de actualizaciones que el gigante taiwanés ofrece en sus ordenadores y portátiles. Al comprometerlo, los atacantes pudieron colar un malware, firmarlo digitalmente para que pareciese que venía directamente de ASUS y esparcirlo sin esfuerzo.

El malware en cuestión actuaba como puerta trasera y estuvo funcionando bajo este sistema durante al menos cinco meses. En efecto, esto quiere decir que ASUS tardó casi medio año en descubrir que uno de sus servidores se había visto comprometido y que estaban sirviendo malware firmado digitalmente, un escenario bastante grave ya que, como dijimos, con la infección se producía una puerta trasera que trabajaba de una manera muy específica:

Durante el proceso de infección buscaba direcciones MAC únicas.
Si encontraba equipos con esas direcciones se comunicaba con un servidor que operaban los atacantes.
Una vez completada la comunicación procedía a instalar nuevo malware.

Kaspersky Lab ha confirmado que descubrió el ataque en enero, gracias a una nueva tecnología de detección de amenazas que es capaz de capturar fragmentos de código anómalo camuflado en código legítimo, un planteamiento que encaja prácticamente a la perfección con la técnica que utilizaron los atacantes en este ciberataque contra ASUS, que ha sido denominado “ShadowHammer” (“Martillo Sombrío”).

La compañía tiene previsto publicar un informe completo con todas las claves de este ataque el mes que viene, aprovechando el escenario que le brindará la celebración de la próxima cumbre dedicada al encuentro de analistas de seguridad que tendrá lugar en Singapur.

Infectar servidores para llegar al usuario

La infección que sufrió ASUS confirma los crecientes esfuerzos que están llevando a cabo los cibercriminales para llegar a los equipos de los usuarios. Cada vez existe una mayor conciencia en general sobre la importancia del sentido común a la hora de mantener protegido un equipo informático. Ésto, unido a las mejoras que han introducido los principales sistemas antivirus ha levantado un muro que muchos tipos de malware no pueden superar.

En este sentido cada vez más atacantes están optando por buscar formas creativas de superar esa barrera, y atacar a empresas y proveedores de servicios se está convirtiendo en una de las vías más efectivas. Este tipo de infecciones son instrumentales, es decir, son el camino que deben seguir los cibercriminales para poder esquivar ese muro del que hablamos en el párrafo anterior, ya que les permite crear malware disfrazado con una capa de legitimidad que inutiliza el sentido común del usuario, y también acaba haciendo que pase desapercibido a las principales herramientas de seguridad informática.

A nivel profesional esta problemática se conoce como “ataques a la cadena de suministro”. Se está convirtiendo en algo cada vez más habitual, pero no debemos caer en el error de pensar que es algo que se limita a utilizar las actualizaciones como vía de infección, ya que también existen casos de infecciones que se producen tanto a nivel de hardware como de software durante el proceso de fabricación de los dispositivos.

Este tipo de infecciones de malware tienen una ventaja clara para los cibercriminales, y es quevienen de casa y acompañados de un certificado digital legítimo de un proveedor autorizado, con todo lo que ello supone.

Volviendo al caso de ASUS sabemos que los atacantes utilizaron dos certificados digitales de la compañía taiwanesa para firmar su malware. Uno de esos dos certificados expiró a mitad de 2018, pero el otro sigue estando activo y todavía no ha sido invalidado por ASUS, por lo que se puede seguir utilizando para firmar archivos maliciosos.

Desconocemos el número exacto de usuarios que han sido infectados por este ciberataque, pero se habla de varios miles. La conclusión que podemos sacar de todo esto es simple: la creatividad de los cibercriminales no tiene límites, una realidad que ha hecho que ya ni siquiera el sentido común y las soluciones avanzadas de protección sean suficientes para garantizar la seguridad de nuestros equipos.

TTCS ciberseguridad