Un ataque a la cadena de suministro podría haber afectado a más de 1 millón de usuarios de ASUS

Usuarios de ASUS en todo el mundo se han visto afectados por una campaña APT, esto es, de amenaza persistente avanzada, según desvela la firma de seguridad Kaspersky Lab.

Esta campaña ha afectado concretamente a usuarios de ASUS Live Update, una utilidad preinstalada en ordenadores del fabricante asiático para tema de actualizaciones, con un ataque a la cadena de suministro conocido como Operación ShadowHammer y se desarrolló entre los meses de junio y noviembre de 2018. Si bien ASUS ya tiene constancia de lo sucedido, se estima que el número de víctimas podría superar el millón.

Los atacantes aprovecharon certificados digitales robados y manipularon versiones anteriores del software de ASUS para instalar código malicioso.

Un aspecto destacado de esta amenaza es que sus autores se centraron en acceder a ciertos usuarios que ya conocían con tabla de direcciones MAC codificadas. En los casos con coincidencia en las direcciones, se descargaba una nueva etapa del código. En los otros, no se mostraba actividad para ocultarse.

“Todavía no está muy claro cuál fue el objetivo final de los cibercriminales y continuamos investigando quién estuvo detrás del ataque”, indica Vitaly Kamluk, director del Equipo de Análisis e Investigación Global, APAC, en Kaspersky Lab. “Sin embargo, las técnicas utilizadas para lograr la ejecución no autorizada de código, así como otros objetos descubiertos, sugieren que ShadowHammer está probablemente relacionado con la BARIUM APT, que anteriormente estaba vinculada a los incidentes ShadowPad y CCleaner, entre otros”.

“Esta nueva campaña”, añade Kamluk, “es un ejemplo más de lo sofisticado y peligroso que puede llegar a ser un ataque de cadena de suministro inteligente en la actualidad”. Este experto advierte de que “los proveedores seleccionados son objetivos muy atractivos para grupos de APT que podrían querer aprovecharse de su amplia base de clientes”.