¿Recuerdas el hack de CCleaner ?
CCleaner hack fue uno de los mayores ataques de la cadena de suministro que infectó a más de 2.3 millones de usuarios con una versión del software de puerta trasera en septiembre de 2017.
Un grupo de hackers patrocinados por el estado el año pasado logró secuestrar el servidor de actualización automática de software de ASUS Live entre junio y noviembre de 2018 e instaló actualizaciones maliciosas para instalar puertas traseras en más de un millón de computadoras con Windows en todo el mundo.
Según investigadores de ciberseguridad de la firma rusa Kaspersky Lab , que descubrieron el ataque y lo llamaron Operación ShadowHammer , Asus recibió información sobre el ataque en curso de la cadena de suministro el 31 de enero de 2019.
Después de analizar más de 200 muestras de las actualizaciones maliciosas, los investigadores descubrieron que los piratas informáticos no querían atacar a todos los usuarios, sino a una lista específica de usuarios identificados por sus direcciones MAC únicas, que estaban incorporadas en el malware.
«Pudimos extraer más de 600 direcciones MAC únicas de más de 200 muestras utilizadas en este ataque. Por supuesto, podría haber otras muestras con diferentes direcciones MAC en su lista», afirman los investigadores.
Al igual que los hacks CCleaner y ShadowPad , el archivo malicioso se firmó con certificados digitales de ASUS legítimos para que pareciera una actualización de software oficial de la compañía y no se detectara durante mucho tiempo.
Los investigadores no atribuyeron el ataque a ningún grupo de APT en este momento, pero ciertas pruebas vincularon el último ataque al incidente ShadowPad de 2017, que Microsoft atribuyó a los actores de BARIUM APT detrás de la puerta trasera de Winnti.
«Recientemente, nuestros colegas de ESET escribieron sobre otro ataque en la cadena de suministro en el que también participó BARIUM, que creemos que también está relacionado con este caso», afirman los investigadores.
Según Kaspersky, la versión de puerta trasera de ASUS Live Update fue descargada e instalada por al menos 57,000 usuarios de Kaspersky.
«Nosotros [los investigadores] no podemos calcular el recuento total de usuarios afectados solo a partir de nuestros datos; sin embargo, estimamos que la escala real del problema es mucho mayor y posiblemente afecta a más de un millón de usuarios en todo el mundo», dice Kaspersky.
Symantec le dijo a Vice que la compañía identificó el malware en más de 13,000 máquinas que ejecutan su software antivirus.
La mayoría de las víctimas que Kaspersky detectó son de Rusia, Alemania, Francia, Italia y los Estados Unidos, aunque el malware infectó a usuarios de todo el mundo.
Kaspersky ha notificado a ASUS y a otras compañías de antivirus sobre el ataque mientras la investigación sobre el asunto aún está en curso.
La firma de antivirus también ha lanzado una herramienta automatizada para que los usuarios verifiquen si fueron atacados específicamente por la amenaza persistente avanzada de ShadowHammer.
Fuente: thehackernews.com