El malware, que podría haber sido
instalado en cerca de 1 millón de ordenadores, se encontraba dirigido a un
grupo pequeño de usuarios.
Según ha descubierto el equipo de
Kaspersky Lab, en la que ha llamado operación ShadowHammer, el software Asus
Live Update habría sido empleado para instalar malware en los equipos que utilizan
dicho programa. Esta herramienta se encuentra preinstalada en los ordenadores
de ASUS para la actualización del software de serie.
El malware, aunque podría haber sido
instalado en cerca de 1 millón de ordenadores, sólo se ejecutaba en las
máquinas cuya dirección MAC se encontrase en una lista de direcciones ubicada
en el código del malware. En total, Kaspersky ha encontrado 600 direcciones
diferentes entre 200 muestras recopiladas, aunque la lista podría ser mayor.
La publicación de la operación se precipitó
el día de ayer cuando VICE Motherboard reveló los hechos, aunque Kaspersky
todavía sigue investigando y publicará todos los detalles en el SAS de
Singapur. Según la marca de antivirus,
ASUS fue notificada el día 31 de enero, aunque ésta todavía no ha tenido tiempo
de dar más información.
Según reveló a Vice la marca Symantec,
13.000 equipos que emplean su antivirus se habrían visto comprometidos por este
malware, mientras según Kaspersky unos 57.000 de sus usuarios se vieron
afectados. En el caso de Kaspersky, la mayoría de los equipos infectados
provienen de Rusia, algo que no debe extrañar al tener una mayor cuota de
mercado en su propio país.
A parte de la gravedad de los hechos,
resulta realmente preocupante que el malware se encontrase firmado por la
propia ASUS, lo cual demuestra que han podido acceder a su red, y que
probablemente el certificado ha sido comprometido. Esto permitiría posibles
futuros ataques utilizando dicho certificado, si es que no se revoca.
Aunque todavía faltan los detalles de
la operación, según comentan Kamluk y Raiu de Kaspersky Lab, existen muchas
similitudes entre esta operación, la de ShadowPad y la de CCleaner, en la que
se llegaron a infectar más de 2 millones de usuarios, por lo que es posible que
se traten de los mismos atacantes.
Más información
- Operation ShadowHammer: https://securelist.com/operation-shadowhammer/89992/
- Hackers Hijacked ASUS Software Updates to Install Backdoors on Thousands of Computers: https://motherboard.vice.com/en_us/article/pan9wn/hackers-hijacked-asus-software-updates-to-install-backdoors-on-thousands-of-computers