Operación ShadowHammer: utilizó software de actualización de ASUS

0
863

Kaspersky Lab descubrió una nueva campaña de amenazas persistentes avanzadas (APT) que ha afectado a un elevado número de usuarios a través de lo que se conoce como un ataque a la cadena de suministro. Las investigaciones de Kaspersky Lab encontraron que los actos de amenazas detrás de la Operación ShadowHammer se dirigieron, entre junio y noviembre de 2018, contra los usuarios de ASUS Live Update, consiguiendo introducir una puerta trasera.  Los analistas de Kaspersky Lab estiman que el ataque puede haber afectado a más de un millón de usuarios en todo el mundo.

Un ataque a la cadena de suministro es uno de los vectores de infección más peligrosos y, a la vez, más eficaz y cada vez más utilizado en los últimos años en operaciones avanzadas, como hemos visto con ShadowPad o CCleaner. En concreto, se dirige contra puntos débiles concretos en los sistemas interconectados de recursos humanos, organizativos, materiales e intelectuales implicados en el ciclo de vida del producto, desde el desarrollo inicial hasta llegar al usuario final. Si bien la infraestructura de un proveedor puede ser segura, puede haber vulnerabilidades en las instalaciones de sus proveedores que llegarían a sabotear la cadena de suministro, provocando una brecha de datos inesperada y devastadora.

El enfoque modular y las precauciones adicionales que se tomaban al ejecutar el código para evitar el código accidental o la fuga de datos indican que era muy importante que los actores detrás de este ataque sofisticado permanecieran sin ser detectados mientras atacaban con precisión quirúrgica algunos objetivos muy concretos. Un profundo análisis técnico muestra que el arsenal de los atacantes era muy avanzado y reflejaba un nivel muy alto de desarrollo dentro del grupo.

La búsqueda de malware similar ha revelado la existencia de software procedente de otros tres proveedores en Asia, todos ellos con métodos y técnicas muy similares. Kaspersky Lab ha informado del incidente a Asus y a otros proveedores.

“Los proveedores seleccionados son objetivos muy atractivos para grupos de APT que podrían querer aprovecharse de su amplia base de clientes. Todavía no está muy claro cuál fue el objetivo final de los cibercriminales y continuamos investigando quién estuvo detrás del ataque. Sin embargo, las técnicas utilizadas para lograr la ejecución no autorizada de código, así como otros objetos descubiertos, sugieren que ShadowHammer está probablemente relacionado con la BARIUM APT, que anteriormente estaba vinculada a los incidentes ShadowPad y CCleaner, entre otros. Esta nueva campaña es un ejemplo más de lo sofisticado y peligroso que puede llegar a ser un ataque de cadena de suministro inteligente en la actualidad», ha asegurado Vitaly Kamluk, directora del Equipo de Análisis e Investigación Global, APAC, en Kaspersky Lab.

Todos los productos de Kaspersky Lab detectan y bloquean con éxito el malware utilizado en la Operación ShadowHammer.

Kaspersky Lab presentará los resultados completos sobre la Operación ShadowHammer en la cumbre Security Analyst Summit 2019, que tendrá lugar en Singapur del 9 al 11 de abril.

El informe completo sobre la campaña de ShadowHammer está disponible para los clientes de Kaspersky Intelligence Reporting Service.

Asimismo, en Securelist está disponible un resume del ataque junto con una herramienta especial diseñada para validar si los dispositivos de los usuarios que fueron atacados. La validación también está disponible en este enlace.