Piratean las actualizaciones de ASUS para instalar puertas traseras en miles de equipos
Expertos en ciberseguridad han advertido que puertas traseras maliciosas han sido instaladas en miles de equipos de la marca ASUS, uno de los mayores fabricantes del mundo. La vulnerabilidad fue creada el pasado año, cuando hackers consiguieron infectar el servidor dedicado a la herramienta de actualización de software de esta empresa. Ese archivo malicioso cuenta con la firma y los certificados digitales ASUS, de manera que ha podido hacerse pasar por una actualización legítima.
Según una investigación que se acaba de hacer pública, ASUS, una multinacional con sede en Taiwán que fabrica ordenadores de sobremesa, portátiles, móviles y sistemas inteligentes para el hogar, habría distribuido -involuntariamente- esta backdoor a sus clientes durante un periodo de, al menos, cinco meses del año pasado, antes de que se descubriera la vulnerabilidad. Una vez activo, el exploit, que ha sido bautizado como ShadowHammer, parece buscar sistemas específicos a través de las direcciones MAC únicas (Media Access Control) y, al hallar uno de sus objetivos, le dirige a un servidor de mando y control operado por los atacantes. Así puede introducir malware adicional en los equipos.
Las estimaciones sugieren que la puerta trasera maliciosa ha afectado a más de medio millón de usuarios Windows a través del servidor de actualizaciones, aunque los piratas sólo han atacado a unos 70.000 de esos sistemas. Una vez publicada la amenaza, ASUS ha anunciado la implementación de una corrección en la última versión (3.6.8) del software Live Update, que introduce múltiples mecanismos de verificación de seguridad para evitar cualquier manipulación maliciosa y ha introducido un mejor cifrado entre las partes. Desde ASUS se recomienda que todos los usuarios instalen este paquete.
Amenaza creciente
Este incidente pone de relieve la creciente amenaza de los llamados ataques de cadena de suministro, en los que componentes maliciosos son instalados en los sistemas durante los procesos de fabricación, ensamblaje o distribución, en ocasiones a través de proveedores de confianza. El año pasado la administración de Estados Unidos creó un grupo de investigación específico para examinar este tipo de problemas, tras encadenarse varios ataques de fuerte repercusión.
Aunque la mayor parte de la atención en los ataques a la cadena de suministro se centra en la posibilidad de que se añadan implantes maliciosos al hardware o al software durante su fabricación, las actualizaciones oficiales de los proveedores se han convertido una forma ideal para que los hackers instalen malware en los sistemas después de su venta, ya que los clientes confían en las puestas al día de los proveedores si éstas vienen firmadas con un certificado digital legítimo.
En el caso de ShadowHammer el archivo malicioso fue diseminado a través de un archivo llamado setup.exe, que se hacía pasar por una actualización de la propia herramienta Live Update. En realidad lo que hacían los atacantes era inyectar un código malicioso en un archivo ASUS que firmaban con un certificado legítimo, para no levantar sospechas. De acuerdo con las primeras informaciones, la mayoría de los equipos infectados pertenecen a clientes de Rusia y Estados Unidos, seguidos en menor medida de Alemania y Francia.
Los atacantes utilizaron dos certificados digitales ASUS diferentes para firmar el malware; el primero expiró a mediados de 2018, por lo que los hackers cambiaron a uno nuevo para seguir introduciendo la puerta trasera en más equipos. La herramienta de actualización de ASUS que entregaba el malware a los clientes viene instalada de fábrica en los portátiles y en algunos otros dispositivos de la marca.