Operación ShadowHammer será revelado en SAS 2019

Anteriormente, Motherboard publicó una historia de Kim Zetter en la Operación ShadowHammer, un ataque de cadena de suministro recientemente descubierto que aprovechó el software ASUS Live Update.

Mientras la investigación de ShadowHammer aún está en curso y se publicarán los resultados completos y el documento técnico durante la conferencia SAS 2019 en Singapur, nos gustaría compartir algunos detalles importantes sobre el ataque.

En enero de 2019, descubrimos un sofisticado ataque a la cadena de suministro que involucraba la utilidad de actualización en vivo de ASUS . El ataque tuvo lugar entre junio y noviembre de 2018 y, según nuestra telemetría, afectó a un gran número de usuarios.

ASUS Live Update es una utilidad que está preinstalada en la mayoría de las computadoras de ASUS y se usa para actualizar automáticamente ciertos componentes como BIOS, UEFI, controladores y aplicaciones. Según Gartner, ASUS es el 5º proveedor de computadoras más grande del mundo en 2017 por ventas de unidades . Esto lo convierte en un objetivo extremadamente atractivo para los grupos APT que quieran aprovechar su base de usuarios.

Según nuestras estadísticas, más de 57,000 usuarios de Kaspersky han descargado e instalado la versión de puerta trasera de ASUS Live Update en algún momento. No podemos calcular el recuento total de usuarios afectados basándose solo en nuestros datos; sin embargo, estimamos que la escala real del problema es mucho más grande y posiblemente esté afectando a más de un millón de usuarios en todo el mundo.

El objetivo del ataque era dirigirse quirúrgicamente a un grupo desconocido de usuarios, que fueron identificados por las direcciones MAC de sus adaptadores de red .

Para lograr esto, los atacantes habían codificado en una lista de direcciones MAC en las muestras troyanas y esta lista se usó para identificar los objetivos reales previstos de esta operación masiva. Pudimos extraer más de 600 direcciones MAC únicas de más de 200 muestras utilizadas en este ataque. Por supuesto, podría haber otras muestras por ahí con diferentes direcciones MAC en su lista.

Creemos que este es un ataque de cadena de suministro muy sofisticado, que iguala o incluso supera los incidentes de Shadowpad y CCleaner en complejidad y técnicas.

La razón por la que no se detectó durante tanto tiempo se debe en parte al hecho de que los actualizadores troyanos se firmaron con certificados legítimos (por ejemplo: “ASUSTeK Computer Inc.”).

Los actualizadores maliciosos se alojaron en los servidores oficiales de actualización ASUS liveupdate01s.asus [.] Com y liveupdate01.asus [.] Com.

Firma digital en un instalador de instalación de ASUS                                     Live Update trojanized

                        Número de serie del certificado:

                    05e6a0be5ac359c7ff11f4b467ab20fc

Nos contactamos con ASUS y les informamos sobre el ataque del 31 de enero de 2019, que respaldó su investigación con IOC y descripciones del malware.

Aunque la atribución precisa no está disponible en este momento, cierta evidencia que hemos recopilado nos permite vincular este ataque al incidente ShadowPad de 2017. El actor detrás del incidente ShadowPad ha sido identificado públicamente por Microsoft en documentos judiciales como BARIUM. BARIUM es un actor de la APT conocido por usar la puerta trasera Winnti. Recientemente, nuestros colegas de ESET escribieron sobre otro ataque de la cadena de suministro en el que también participó BARIUM, que creemos que también está relacionado con este caso.

Una distribución de víctimas por país para el ASUS Live Updater comprometido tiene el siguiente aspecto:

Cabe señalar que los números también están muy influenciados por la distribución de los usuarios de Kaspersky en todo el mundo.

En principio, la distribución de las víctimas debe coincidir con la distribución de los usuarios de ASUS en todo el mundo.

También hemos creado una herramienta que se puede ejecutar para determinar si su computadora ha sido uno de los objetivos seleccionados quirúrgicamente de este ataque. Para verificar esto, compara las direcciones MAC de todos los adaptadores con una lista de valores predefinidos codificados en el malware y alerta si se encontró una coincidencia.

Descarga un archivo con la herramienta (.exe)

Además, puede consultar las direcciones MAC en línea . Si descubre que ha sido el objetivo de esta operación, envíenos un correo electrónico a: shadowhammer@kaspersky.com

IOCs

Veredictos de Kaspersky Lab para el malware utilizado en este y otros ataques relacionados:

  • HEUR: Trojan.Win32.ShadowHammer.gen

Dominios e IPs:

  • asushotfix [.] com
  • 141.105.71 [.] 116

Algunas de las URL utilizadas para distribuir los paquetes comprometidos:

  • hxxp: //liveupdate01.asus [.] com / pub / ASUS / nb / Apps_for_Win8 / LiveUpdate / Liveupdate_Test_VER365.zip
  • hxxps: //liveupdate01s.asus [.] com / pub / ASUS / nb / Apps_for_Win8 / LiveUpdate / Liveupdate_Test_VER362.zip
  • hxxps: //liveupdate01s.asus [.] com / pub / ASUS / nb / Apps_for_Win8 / LiveUpdate / Liveupdate_Test_VER360.zip
  • hxxps: //liveupdate01s.asus [.] com / pub / ASUS / nb / Apps_for_Win8 / LiveUpdate / Liveupdate_Test_VER359.zip

Hashes (Liveupdate_Test_VER365.zip):

  • aa15eb28292321b586c27d8401703494
  • bebb16193e4b80f4bc053e4fa818aa4e2832885392469cd5b8ace5cec7e4ca19

Un conjunto completo de reglas de IOC y Yara está disponible para los clientes del servicio de informes de Kaspersky Intelligence: contacte con intelreports (at)kaspersky.com

 

 

Por Marcelo Lozano – General Publisher IT Connect Latam

 

Ley de ciberseguridad: excusa gubernamental para censurar en 2019

Kaspersky Endpoint Security for Business lo mejor de 2019

Google Cloud Platform: evaluar la seguridad de manera continua

81 / 100