26 mar. 2019

Operación ShadowHammer, equipos ASUS comprometidos

Aproximadamente un millón de ordenadores ASUS podrían haber sido potencialmente comprometidos por una herramienta oficial de ASUS. Kapersky Lab asegura que debido a este hackeo se ocultó como si fuera una actualización crítica de software que acabó distribuyéndose por los servidores oficiales de la firma que usó un certificado digital auténtico que lo hizo pasar por un programa real.
El software en concreto es el ASUS Live Update, y el impacto del problema aún está por determinar. La cifra potencial de dispositivos afectados asciende a un millón, pero según Kapersky Lab y tal y como recoge Motherboard el total de ordenadores ASUS que instalaron el programa malicioso se cuenta en "cientos de miles". Unas 57.000 personas que usan el software de seguridad de Kapersky han sido infectadas y Symantec cifra a unos 13.000 afectados.

La infección está pensada de forma específica y no de forma global. Es decir, que los atacantes no pensaban afectar a una gran cantidad de usuarios, sino a clientes específicos. El malware contenía instrucciones de acción específicas para unos 600 sistemas (un número muy pequeño si vemos el volumen de ordenadores ASUS que hay en el mercado) que a su vez deben identificarse con direcciones MAC específicas. El programa, al detectar el sistema objetivo, instala más programas maliciosos recogiendo datos y que tiene como fin recoger información en vez de dañar el sistema en sí. La operación ha sido llamada ShadowHammer.

ASUS ha negado en rotundo en primera instancia que el software malicioso viniera de sus propios servidores, aunque luego no ha realizado comentarios. La clave de este asunto es que el hackeo ha usado el ASUS Live Update como vehículo para actuar, por lo que hablamos de que una herramienta oficial ha causado estos problemas y se ha afectado la cadena de provisión de la empresa.

Además el sistema elegido no es casual. El ASUS Live Update es un software que como bien indica su nombre permite realizar actualizaciones de software de ASUS, y al ser las actualizaciones a gran escala permite un radio de acción muchísimo mayor. No obstante y como hemos dicho anteriormente este ataque buscaba más dañar a un pequeño reducto de usuarios que obtener resultados a gran escala.

En caso de tener un ordenador ASUS, se puede desinstalar por ahora el software ASUS Live Update. Kaspersky ha publicado una herramienta para verificar la infección.

Actualización 27/03: Asus ha lanzado un parche para un software malicioso que, aunque aparentemente se trataba de un ataque dirigido a 600 equipos específicos, terminó instalando una puerta trasera a miles de usuarios de todo el mundo el año pasado. Para evitar ataques similares en el futuro, la empresa también señala que ha actualizado y fortalecido la arquitectura de software de servidor a usuario final. Asimismo, ha asegurado que está contactando a los usuarios afectados para brindarles asistencia en eliminar los riesgos de seguridad. Adicionalmente, indica que que ha creado una herramienta de diagnóstico que se puede descargar para revisar si un equipo ha sido afectado.

Fuente: MotherBoard

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!