Kaspersky Lab descubrió una nueva campaña de amenazas persistentes avanzadas (APT) que ha afectado a un elevado número de usuarios a través de lo que se conoce como un ataque a la cadena de suministro. Las investigaciones de Kaspersky Lab encontraron que los actos de amenazas detrás de la Operación ShadowHammer se dirigieron, entre junio y noviembre de 2018, contra los usuarios de ASUS Live Update, consiguiendo introducir una puerta trasera. Los analistas de Kaspersky Lab estiman que el ataque puede haber afectado a más de un millón de usuarios en todo el mundo.
Un ataque a la cadena de suministro es uno de los vectores de infección más peligrosos y, a la vez, más eficaz y cada vez más utilizado en los últimos años en operaciones avanzadas, como hemos visto conShadowPad o CCleaner. En concreto, se dirige contra puntos débiles concretos en los sistemas interconectados de recursos humanos, organizativos, materiales e intelectuales implicados en el ciclo de vida del producto, desde el desarrollo inicial hasta llegar al usuario final. Si bien la infraestructura de un proveedor puede ser segura, puede haber vulnerabilidades en las instalaciones de sus proveedores que llegarían a sabotear la cadena de suministro, provocando una brecha de datos inesperada y devastadora.
Los actores detrás de ShadowHammer se dirigieron contra la utilidad ASUS Live Update como fuente inicial de infección. Esta es una utilidad preinstalada en la mayoría de los nuevos computadores de ASUS para actualizaciones automáticas de BIOS, UEFI, controladores y aplicaciones. Usando certificados digitales robados utilizados por ASUS para firmar binarios legítimos, los atacantes manipularon versiones anteriores del software ASUS instalando su propio código malicioso. Las versiones troyanas de la utilidad se firmaron con certificados legítimos, alojándose y distribuyéndose desde los servidores oficiales de actualizaciones de ASUS, haciéndolas prácticamente invisibles para la gran mayoría de las soluciones de protección.
Aunque, potencialmente, todos los usuarios del software afectados pueden convertirse en víctimas, los cibercriminales detrás de ShadowHammer se enfocaron en conseguir accesos a varios cientos de usuarios, de los que ya tenían un conocimiento. Tal y como descubrieron los analistas de Kaspersky Lab, cada código backdoor contenía una tabla de direcciones MAC codificadas, el único identificador de los adaptadores de red utilizados para conectar un computador a una red. Una vez que se ejecutaba el programa en el dispositivo de la víctima, la puerta trasera verificaba su dirección MAC contra esta tabla. Si la dirección MAC coincidía con una de las entradas, el malware descargaba la siguiente etapa del código malicioso. De lo contrario, no se mostraba ninguna actividad de red, por lo que permanecía durante mucho tiempo sin ser descubierto. En total, los analistas de seguridad pudieron identificar más de 600 direcciones MAC, que fueron el objetivo de más de 230 muestras únicas de backdoor utilizando diferentes shellcodes.
El enfoque modular y las precauciones adicionales que se tomaban al ejecutar el código para evitar el código accidental o la fuga de datos indican que era muy importante que los actores detrás de este ataque sofisticado permanecieran sin ser detectados mientras atacaban con precisión quirúrgica algunos objetivos muy concretos. Un profundo análisis técnico muestra que el arsenal de los atacantes era muy avanzado y reflejaba un nivel muy alto de desarrollo dentro del grupo.
La búsqueda de malware similar ha revelado la existencia de software procedente de otros tres proveedores en Asia, todos ellos con métodos y técnicas muy similares. Kaspersky Lab ha informado del incidente a Asus y a otros proveedores.
“Los proveedores seleccionados son objetivos muy atractivos para grupos de APT que podrían querer aprovecharse de su amplia base de clientes. Todavía no está muy claro cuál fue el objetivo final de los cibercriminales y continuamos investigando quién estuvo detrás del ataque. Sin embargo, las técnicas utilizadas para lograr la ejecución no autorizada de código, así como otros objetos descubiertos, sugieren que ShadowHammer está probablemente relacionado con la BARIUM APT, que anteriormente estaba vinculada a los incidentes ShadowPad y CCleaner, entre otros. Esta nueva campaña es un ejemplo más de lo sofisticado y peligroso que puede llegar a ser un ataque de cadena de suministro inteligente en la actualidad», ha asegurado Vitaly Kamluk, directora del Equipo de Análisis e Investigación Global, APAC, en Kaspersky Lab.
Todos los productos de Kaspersky Lab detectan y bloquean con éxito el malware utilizado en la Operación ShadowHammer.
Para evitar ser víctimas de un ataque dirigido por un actor de amenazas conocido o desconocido, los analistas de Kaspersky Lab recomiendan implementar las siguientes medidas:
- Además de adoptar la necesaria protección de endpoints, es importante implementar una solución de seguridad de nivel corporativo que detecte, en una etapa temprana, amenazas avanzadas en el nivel de red, como Kaspersky Anti Targeted Attack Platform.
- Para la detección, investigación y remediación de incidentes en los dispositivos, recomendamos implementar soluciones EDR como Kaspersky Endpoint Detection and Response o contactar con un equipo de respuesta a incidentes.
- Integrar los feeds de Threat Intelligence en el sistema de gestión de eventos e información de seguridad (SIEM, por sus siglas en inglés) y otros controles de seguridad para conseguir tener acceso a los datos más relevantes y actualizados de amenazas y estar preparados ante futuros ataques.
Kaspersky Lab presentará los resultados completos sobre la Operación ShadowHammer en la cumbre Security Analyst Summit 2019, que tendrá lugar en Singapur del 9 al 11 de abril.
El informe completo sobre la campaña de ShadowHammer está disponible para los clientes de Kaspersky Intelligence Reporting Service.
Asimismo, en Securelist está disponible un resume del ataque junto con una herramienta especial diseñada para validar si los dispositivos de los usuarios que fueron atacados. La validación también está disponible en este enlace.