ASUS sufrió un ciberataque que forzó la instalación de actualizaciones maliciosas

La firma de seguridad Kaspersky Lab ha confirmado que ASUS, uno de los OEMs más importantes del mundo, sufrió un ciberataque muy grave que acabó comprometiendo uno de sus servidores, y afectando a miles de usuarios.

Os ponemos en situación. Dicho servidor se ocupaba del sistema de actualizaciones que el gigante taiwanés ofrece en sus ordenadores y portátiles. Al comprometerlo, los atacantes pudieron colar un malware, firmarlo digitalmente para que pareciese que venía directamente de ASUS y esparcirlo sin esfuerzo.

El malware en cuestión actuaba como puerta trasera y estuvo funcionando bajo este sistema durante al menos cinco meses. En efecto, esto quiere decir que ASUS tardó casi medio año en descubrir que uno de sus servidores se había visto comprometido y que estaban sirviendo malware firmado digitalmente, un escenario bastante grave ya que, como dijimos, con la infección se producía una puerta trasera que trabajaba de una manera muy específica:

• Durante el proceso de infección buscaba direcciones MAC únicas.
• Si encontraba equipos con esas direcciones se comunicaba con un servidor que operaban los atacantes.
• Una vez completada la comunicación procedía a instalar nuevo malware.

Kaspersky Lab ha confirmado que descubrió el ataque en enero, gracias a una nueva tecnología de detección de amenazas que es capaz de capturar fragmentos de código anómalo camuflado en código legítimo, un planteamiento que encaja prácticamente a la perfección con la técnica que utilizaron los atacantes en este ciberataque contra ASUS, que ha sido denominado «ShadowHammer» («Martillo Sombrío»).

La compañía tiene previsto publicar un informe completo con todas las claves de este ataque el mes que viene, aprovechando el escenario que le brindará la celebración de la próxima cumbre dedicada al encuentro de analistas de seguridad que tendrá lugar en Singapur.

Infectar servidores para llegar al usuario

La infección que sufrió ASUS confirma los crecientes esfuerzos que están llevando a cabo los cibercriminales para llegar a los equipos de los usuarios. Cada vez existe una mayor conciencia en general sobre la importancia del sentido común a la hora de mantener protegido un equipo informático. Ésto, unido a las mejoras que han introducido los principales sistemas antivirus ha levantado un muro que muchos tipos de malware no pueden superar.

En este sentido cada vez más atacantes están optando por buscar formas creativas de superar esa barrera, y atacar a empresas y proveedores de servicios se está convirtiendo en una de las vías más efectivas. Este tipo de infecciones son instrumentales, es decir, son el camino que deben seguir los cibercriminales para poder esquivar ese muro del que hablamos en el párrafo anterior, ya que les permite crear malware disfrazado con una capa de legitimidad que inutiliza el sentido común del usuario, y también acaba haciendo que pase desapercibido a las principales herramientas de seguridad informática.

A nivel profesional esta problemática se conoce como «ataques a la cadena de suministro». Se está convirtiendo en algo cada vez más habitual, pero no debemos caer en el error de pensar que es algo que se limita a utilizar las actualizaciones como vía de infección, ya que también existen casos de infecciones que se producen tanto a nivel de hardware como de software durante el proceso de fabricación de los dispositivos.

Este tipo de infecciones de malware tienen una ventaja clara para los cibercriminales, y es que vienen de casa y acompañados de un certificado digital legítimo de un proveedor autorizado, con todo lo que ello supone.

Volviendo al caso de ASUS sabemos que los atacantes utilizaron dos certificados digitales de la compañía taiwanesa para firmar su malware. Uno de esos dos certificados expiró a mitad de 2018, pero el otro sigue estando activo y todavía no ha sido invalidado por ASUS, por lo que se puede seguir utilizando para firmar archivos maliciosos.

Desconocemos el número exacto de usuarios que han sido infectados por este ciberataque, pero se habla de varios miles. La conclusión que podemos sacar de todo esto es simple: la creatividad de los cibercriminales no tiene límites, una realidad que ha hecho que ya ni siquiera el sentido común y las soluciones avanzadas de protección sean suficientes para garantizar la seguridad de nuestros equipos.

Actualización: ASUS nos ha enviado un comunicado oficial que adjuntamos tal cual:

La Amenaza Persistente Avanzada (APT) es un tipo de ataque llevado a cabo por un par de países y dirigido hacia organizaciones, países o entidades, no individuos.

ASUS Live Update es una herramienta incluida en los portátiles de ASUS que se ocupa de mantener sus drivers y firmware actualizados. Con el fin de afectar a un grupo de usuarios pequeño y concreto, se han infectado un reducido número de dispositivos con código malicioso a través de un sofisticado ataque a nuestros servidores Live Update. El departamento de servicio al cliente de ASUS ya se ha puesto en contacto con los usuarios afectados para ayudarles a eliminar los riesgos de seguridad asociados.

La nueva versión Live Update 3.6.8 implementa múltiples mecanismos de verificación de seguridad y un sistema de cifrado nuevo que previenen cualquier manipulación maliciosa a través de actualizaciones software o de cualquier otra forma. Paralelamente, hemos reforzado nuestra arquitectura software del servidor al usuario final para evitar que otros ataques similares puedan ocurrir en el futuro.

También hemos creado una herramienta de diagnóstico para comprobar los sistemas afectados y, como precaución, invitamos a que los usuarios que todavía estén preocupados la utilicen. La herramienta está disponible aquí.

Los usuarios que tengan inquietudes adicionales se pueden poner en contacto con el departamento de Servicio al Cliente de ASUS.