El actualizador de Asus fue secuestrado para instalar una puerta trasera en miles de ordenadores

Alejo I
Actualización: Asus ha actualizado su herramienta y enlaza a una herramienta para detectar la posible instalación de puertas traseras.


Noticia original: La firma de seguridad Kaspersky Lab ha desvelado que Asus introdujo puertas traseras en miles de ordenadores a través de su herramienta de actualización de programas. No fue un acto deliberado; atacantes desconocidos tomaron el control de un servidor para secuestrar indirectamente el software de actualización, permitiendo deslizar malware con certificados legítimos de Asus para evitar su detección. Los hechos tuvieron lugar el año pasado.

De acuerdo con los hallazgos de Kaspersky, para cuando Asus se percató del suceso ya había estado instalando esa puerta trasera durante cinco meses. Los hallazgos de Kaspersky han sido validados por Symantec, que ha reconocido que al menos 13.000 ordenadores de sus clientes fueron infectados por una actualización maliciosa. Más de 57.000 clientes de la propia Kaspersky también fueron infectados.

Se estima que Asus instalación las puertas traseras en aproximadamente medio millón de máquinas con Windows, pero solo se ha podido confirmar que se atacaran unas 600. Estos ordenadores fueron localizados usando sus direcciones MAC, presentes en valores hash MD5. Es necesario señalar que el número total de unidades atacadas podría ser mayor, puesto que los hallazgos de Kaspersky se circunscriben a las muestras recogidas en los ordenadores de sus clientes, y es posible que otros equipos tuvieran listas de direcciones MAC adicionales.

Una vez infectados y atacados directamente, los ordenadores se dirigían a un sitio espurio llamado asushotfix.com para descargar una segunda puerta trasera. El mecanismo de ataque es intrigante, puesto que el número de ordenadores atacados fue muy reducido y quien quiera que esté detrás ya tenía preparada una lista de direcciones MAC.

Este suceso muestra un elevado nivel de sofisticación y sirve para ilustrar lo que se conoce como ataques en la cadena de suministro, que utilizan al propio fabricante y sus herramientas como vector para llegar a la víctima. De acuerdo con Kaspersky, "el modelo de confianza que estamos utilizando, basado en fabricantes conocidos y validación de firmas digitales, no puede garantizar que estés a salvo del malware".

Por el momento se desconoce el autor del malware o la persona que podría haberlo utilizado (que no siempre son lo mismo), pero los investigadores han encontrado parecidos entre este suceso y un grupo llamado ShadowPad, asociado a la actualización maliciosa de CCleaner y a un ataque menos conocido que puso en su punto de mira a una firma surcoreana especializada en el desarrollo de software para la administración de servidores.
Fuente: Motherboard