Operación ShadowHammer, un ataque que afecta a más de un millón de usuarios
- Endpoint
Los actores detrás de ShadowHammer apuntaron a la utilidad ASUS Live Update como fuente inicial de infección. Versiones troyanizadas de la utilidad se firmaron con certificados digitales robados y se alojaron y distribuyeron desde los servidores de actualizaciones oficiales de ASUS.
Un ataque a la cadena de suministro es uno de los vectores de infección más peligrosos y, a la vez, más eficaz, debido a que se dirige contra puntos débiles concretos en los sistemas interconectados de recursos humanos, organizativos, materiales e intelectuales implicados en el ciclo de vida del producto, desde el desarrollo inicial hasta llegar al usuario final. Eso es lo que han hecho los actores de amenazas detrás de la Operación ShadowHammer, una nueva campaña de amenazas persistentes avanzadas (APT) que ha afectado a un elevado número de usuarios.
Descubierta por los investigaciones de Kaspersky Lab, la Operación ShadowHammer emplea la utilidad ASUS Live Update como fuente inicial de infección. Se trata de una utilidad preinstalada en la mayoría de los nuevos ordenadores de ASUS para actualizaciones automáticas de BIOS, UEFI, controladores y aplicaciones. Usando certificados digitales robados utilizados por ASUS para firmar binarios legítimos, los atacantes manipularon versiones anteriores del software ASUS instalando su propio código malicioso. Las versiones troyananizadas de la utilidad se firmaron con certificados legítimos, alojándose y distribuyéndose desde los servidores oficiales de actualizaciones de ASUS, haciéndolas prácticamente invisibles para la gran mayoría de las soluciones de protección, consiguiendo introducir una puerta trasera.
El ataque puede haber afectado a más de un millón de usuarios en todo el mundo, si bien los atacantes se enfocaron en conseguir accesos a varios cientos de usuarios, de los que ya tenían un conocimiento. Tal y como descubrieron los analistas de Kaspersky Lab, cada código backdoor contenía una tabla de direcciones MAC codificadas, el único identificador de los adaptadores de red utilizados para conectar un ordenador a una red. Una vez que se ejecutaba el programa en el dispositivo de la víctima, la puerta trasera verificaba su dirección MAC contra esta tabla, y si coincidía con una de las entradas, el malware descargaba la siguiente etapa del código malicioso. De lo contrario, no se mostraba ninguna actividad de red. En total, los analistas de seguridad pudieron identificar más de 600 direcciones MAC, que fueron el objetivo de más de 230 muestras únicas de backdoor.
El enfoque modular y las precauciones adicionales que se tomaban al ejecutar el código para evitar el código accidental o la fuga de datos indican que era muy importante que los actores detrás de este ataque sofisticado permanecieran sin ser detectados mientras atacaban objetivos muy concretos. El arsenal de los atacantes era muy avanzado y reflejaba un nivel muy alto de desarrollo dentro del grupo.
La búsqueda de malware similar ha revelado la existencia de software procedente de otros tres proveedores en Asia, todos ellos con métodos y técnicas muy similares. Kaspersky Lab ha informado del incidente a ASUS y a otros proveedores.
“Todavía no está muy claro cuál fue el objetivo final de los cibercriminales y continuamos investigando quién estuvo detrás del ataque. Sin embargo, las técnicas utilizadas para lograr la ejecución no autorizada de código, así como otros objetos descubiertos, sugieren que ShadowHammer está probablemente relacionado con la BARIUM APT, que anteriormente estaba vinculada a los incidentes ShadowPad y CCleaner, entre otros. Esta nueva campaña es un ejemplo más de lo sofisticado y peligroso que puede llegar a ser un ataque de cadena de suministro inteligente en la actualidad", ha asegurado Vitaly Kamluk, directora del Equipo de Análisis e Investigación Global, APAC, en Kaspersky Lab.
