Un nuevo ataque a la cadena de suministro amenaza a cientos de miles de usurarios
Kaspersky Lab descubrió una nueva campaña de amenazas persistentes avanzadas, APT, que ha afectado a un elevado número de usuarios a través de lo que se conoce como un ataque a la cadena de suministro.
Las investigaciones de Kaspersky Lab encontraron que los actores de amenazas detrás de la Operación ShadowHammer se dirigieron, entre junio y noviembre de 2018, contra los usuarios de ASUS Live Update, consiguiendo introducir una puerta trasera. Los analistas de Kaspersky Lab estiman que el ataque puede haber afectado a más de un millón de usuarios en todo el mundo.
Un ataque a la cadena de suministro es uno de los vectores de infección más peligrosos y, a la vez, más eficaz y cada vez más utilizado en los últimos años en operaciones avanzadas, como hemos visto con ShadowPad o CCleaner. En concreto, se dirige contra puntos débiles concretos en los sistemas interconectados de recursos humanos, organizativos, materiales e intelectuales implicados en el ciclo de vida del producto, desde el desarrollo inicial hasta llegar al usuario final. Si bien la infraestructura de un proveedor puede ser segura, puede haber vulnerabilidades en las instalaciones de sus proveedores que llegarían a sabotear la cadena de suministro, provocando una brecha de datos inesperada y devastadora.
Los actores detrás de ShadowHammer se dirigieron contra la utilidad ASUS Live Update como fuente inicial de infección. Esta es una utilidad preinstalada en la mayoría de los nuevos ordenadores de ASUS para actualizaciones automáticas de BIOS, UEFI, controladores y aplicaciones. Usando certificados digitales robados utilizados por ASUS para firmar binarios legítimos, los atacantes manipularon versiones anteriores del software ASUS instalando su propio código malicioso. Las versiones troyanas de la utilidad se firmaron con certificados legítimos, alojándose y distribuyéndose desde los servidores oficiales de actualizaciones de ASUS, haciéndolas prácticamente invisibles para la gran mayoría de las soluciones de protección.
Aunque, potencialmente, todos los usuarios del software afectado pueden convertirse en víctimas, los actores detrás de ShadowHammer se enfocaron en conseguir accesos a varios cientos de usuarios, de los que ya tenían un conocimiento. Tal y como descubrieron los analistas de Kaspersky Lab, cada código backdoor contenía una tabla de direcciones MAC codificadas, el único identificador de los adaptadores de red utilizados para conectar un ordenador a una red. Una vez que se ejecutaba el programa en el dispositivo de la víctima, la puerta trasera verificaba su dirección MAC contra esta tabla. Si la dirección MAC coincidía con una de las entradas, el malware descargaba la siguiente etapa del código malicioso. De lo contrario, no semostraba ninguna actividad de red, por lo que permanecía durante mucho tiempo sin ser descubierto. En total, los analistas de seguridad pudieron identificar más de 600 direcciones MAC, que fueron el objetivo de más de 230 muestras únicas de backdoor utilizando diferentes shellcodes.
El enfoque modular y las precauciones adicionales que se tomaban al ejecutar el código para evitar el código accidental o la fuga de datos indican que era muy importante que los actores detrás de este ataque sofisticado permanecieran sin ser detectados mientras atacaban con precisión quirúrgica algunos objetivos muy concretos. Un profundo análisis técnico muestra que el arsenal de los atacantes era muy avanzado y reflejaba un nivel muy alto de desarrollo dentro del grupo.
La búsqueda de malware similar ha revelado la existencia de software procedente de otros tres proveedores en Asia, todos ellos con métodos y técnicas muy similares. Kaspersky Lab ha informado del incidente a Asus y a otros proveedores.
“Los proveedores seleccionados son objetivos muy atractivos para grupos de APT que podrían querer aprovecharse de su amplia base de clientes. Todavía no está muy claro cuál fue el objetivo final de los cibercriminales y continuamos investigando quién estuvo detrás del ataque. Sin embargo, las técnicas utilizadas para lograr la ejecución no autorizada de código, así como otros objetos descubiertos, sugieren que ShadowHammer está probablemente relacionado con la BARIUM APT, que anteriormente estaba vinculada a los incidentes ShadowPad y CCleaner, entre otros. Esta nueva campaña es un ejemplo más de lo sofisticado y peligroso que puede llegar a ser un ataque de cadena de suministro inteligente en la actualidad", ha asegurado Vitaly Kamluk, directora del Equipo de Análisis e Investigación Global, APAC, en Kaspersky Lab.