ShadowHammer apunto a múltiples empresas, ASUS fue solo una de ellas.

0
612
views

ASUS no fue la única empresa a la que atacaron la cadena de suministro durante la operación de pirateo de ShadowHammer descubierta por Kaspersky, fueron al menos otras seis organizaciones infiltradas por los atacantes.

Como lo descubrieron los investigadores de seguridad de Kaspersky, la cadena de suministro de ASUS se vio comprometida con éxito al trojanizar uno de los actualizadores de software de la empresa llamado ASUS Live Updater, que finalmente se descargó e instaló en las computadoras de decenas de miles de clientes según las estimaciones de los expertos.

Los binarios manipulados se firmaron utilizando un certificado legítimo que ayudó a los atacantes a evitar romper la firma digital y hacer que el actualizador malicioso fuera marcado.

Barckdoor binario

Sin embargo, ASUS no fue la única empresa que se infiltró en su infraestructura de TI durante la Operación ShadowHammer, dado que los investigadores pudieron encontrar otras muestras de malware que empleaban algoritmos similares y también firmaron con certificados válidos y legítimos.

Entre las similitudes, descubrieron que las muestras de ASUS y las que se encontraron recientemente utilizaban algoritmos muy similares para calcular los hashes de la función API, mientras que el IPHLPAPI.dll se usaba mucho en todas las muestras de malware por varias razones

Al igual que en el caso de ASUS, las muestras utilizaban binarios firmados digitalmente de otros tres proveedores asiáticos:

Electronics Extreme, autores del juego de supervivencia de zombis llamado Infestation: Survivor Stories ,
Innovative Extremist, una compañía que proporciona servicios de infraestructura de Internet y TI, pero que también solía trabajar en el desarrollo de juegos.
Zepetto, la compañía surcoreana que desarrolló el videojuego Point Blank .

Además de estas tres empresas asiáticas de juego, Kaspersky también pudo encontrar otras tres organizaciones que se comprometieron con éxito, “otra compañía de juegos de video, una sociedad holding del conglomerado y una compañía farmacéutica, todas en Corea del Sur”.

Sin embargo, los investigadores aún están en el proceso de alertarlos de que también fueron víctimas de ataques a la cadena de suministro lanzados por el grupo de piratería detrás de la Operación ShadowHammer.

En los casos de los tres proveedores asiáticos que fueron nombrados en el nuevo análisis de Kaspersky, los actores de amenazas pudieron eliminar una carga maliciosa diseñada para recopilar información del sistema y descargar cargas adicionales desde su servidor de comando y control (C&C).

Después de que se rompió la historia de ShadowHammer, ASUS también confirmó el incidente de piratería y declaró que “solo la versión de Live Update utilizada para computadoras portátiles se ha visto afectada”, ya que todos los demás dispositivos no se vieron afectados por el ataque de la cadena de suministro.

Cualquier cliente de ASUS que aún no haya actualizado la utilidad de actualización en vivo de ASUS a la versión limpia 3.6.8 puede hacerlo siguiendo el procedimiento paso a paso disponible AQUÍ .

Los usuarios de ASUS también pueden verificar si sus portátiles han sido atacados en el ataque con la ayuda de los revisores sin conexión proporcionados por ASUS y Kaspersky , o el comprobador web en línea disponible en el sitio web de Kaspersky.

Por otro lado, el equipo de investigación de Kaspersky aconseja a los proveedores de software que “introduzcan otro procedimiento en su proceso de producción de software que además verifique su software en busca de posibles inyecciones de malware incluso después de que el código esté firmado digitalmente”.

Tomando todo en consideración, la Operación ShadowHammer parece estar detrás de los ataques de la cadena de suministro que comprometieron al menos a siete compañías (ASUS, Electronics Extreme, Innovative Extremist, Zepetto y tres entidades aún no nombradas de Corea del Sur).

Los investigadores también declararon que “no se sabe cuántas empresas más están comprometidas. Lo que sí se sabe es que ShadowPad tuvo éxito en las herramientas de desarrollador de backdooring y, de una forma u otra, inyectó código malicioso en binarios firmados digitalmente, subvirtiendo la confianza en esta poderosa defensa”. mecanismo.”

 

Fuente

Toda la información proporcionada en este medio es para fines educativos, en ningún caso alguno se hace responsable e cualquier mal uso de la información. Toda la información es para el desarrollo e investigación de métodos de seguridad informática.

No olvides visitar nuestra hacking shop

shop