Kaspersky Lab descubrió una nueva campaña de amenazas persistentes avanzadas  a través de un ataque a la cadena de suministro. La Operación ShadowHammer se dirigió, entre junio y noviembre de 2018, contra los usuarios de Asus Live Update, consiguiendo introducir una puerta trasera. Los analistas de Kaspersky Lab estiman que el ataque puede haber afectado a más de un millón de usuarios en todo el mundo.

Un ataque a la cadena de suministro es uno de los vectores de infección más peligrosos y, a la vez, más eficaces y cada vez más utilizados, como se ha visto con ShadowPad o CCleaner. Se dirige contra puntos débiles concretos en los sistemas interconectados de recursos humanos, organizativos, materiales e intelectuales implicados en el ciclo de vida del producto, desde el desarrollo inicial hasta llegar al usuario final. Si bien la infraestructura de un proveedor puede ser segura, puede haber vulnerabilidades en las instalaciones de sus proveedores que llegarían a sabotear la cadena de suministro, provocando una brecha de datos inesperada y devastadora.

Los ciberatacantes que están detrás de ShadowHammer se dirigieron contra la utilidad Asus Live Update como fuente inicial de infección. Ésta es una utilidad preinstalada en la mayoría de los nuevos ordenadores de Asus para actualizaciones automáticas de Bios, Uefi, controladores y aplicaciones. Usando certificados digitales robados utilizados por Asus para firmar binarios legítimos, los atacantes manipularon versiones anteriores del software instalando su propio código malicioso. Las versiones ‘troyanas’ de la utilidad se firmaron con certificados legítimos, alojándose y distribuyéndose desde los servidores oficiales de actualizaciones de Asus, haciéndolas prácticamente invisibles para la gran mayoría de las soluciones de protección.

Aunque, potencialmente, todos los usuarios del software afectado pueden convertirse en víctimas, los atacantes detrás de ShadowHammer se enfocaron en conseguir accesos a varios cientos de usuarios, de los que ya tenían un conocimiento. Cada código contenía una tabla de direcciones MAC codificadas, el único identificador de los adaptadores utilizados para conectar un ordenador a una red. Una vez que se ejecutaba el programa en el dispositivo de la víctima, la puerta trasera verificaba su dirección MAC contra esta tabla. Si la dirección MAC coincidía con una de las entradas, el malware descargaba la siguiente etapa del código malicioso. De lo contrario, no  se mostraba ninguna actividad de red, por lo que permanecía durante mucho tiempo sin ser descubierto. Los analistas de seguridad pudieron identificar más de 600 direcciones MAC.

El enfoque modular y las precauciones adicionales que se tomaban al ejecutar el código para evitar el código accidental o la fuga de datos indican que era muy importante que los actores detrás de este ataque sofisticado permanecieran sin ser detectados mientras atacaban con precisión quirúrgica algunos objetivos muy concretos. Un análisis técnico muestra que el arsenal de los atacantes era muy avanzado y reflejaba un nivel muy alto de desarrollo dentro del grupo.

La búsqueda de malware similar ha revelado la existencia de software procedente de otros tres proveedores en Asia, todos ellos con métodos y técnicas muy similares. Kaspersky Lab ha informado del incidente a Asus y a otros proveedores.