El actualizador de Asus fue secuestrado para instalar una puerta trasera en miles de ordenadores

Actualización: Asus ha actualizado su herramienta y enlaza a una herramienta para detectar la posible instalación de puertas traseras.


Noticia original: La firma de seguridad Kaspersky Lab ha desvelado que Asus introdujo puertas traseras en miles de ordenadores a través de su herramienta de actualización de programas. No fue un acto deliberado; atacantes desconocidos tomaron el control de un servidor para secuestrar indirectamente el software de actualización, permitiendo deslizar malware con certificados legítimos de Asus para evitar su detección. Los hechos tuvieron lugar el año pasado.

De acuerdo con los hallazgos de Kaspersky, para cuando Asus se percató del suceso ya había estado instalando esa puerta trasera durante cinco meses. Los hallazgos de Kaspersky han sido validados por Symantec, que ha reconocido que al menos 13.000 ordenadores de sus clientes fueron infectados por una actualización maliciosa. Más de 57.000 clientes de la propia Kaspersky también fueron infectados.

Se estima que Asus instalación las puertas traseras en aproximadamente medio millón de máquinas con Windows, pero solo se ha podido confirmar que se atacaran unas 600. Estos ordenadores fueron localizados usando sus direcciones MAC, presentes en valores hash MD5. Es necesario señalar que el número total de unidades atacadas podría ser mayor, puesto que los hallazgos de Kaspersky se circunscriben a las muestras recogidas en los ordenadores de sus clientes, y es posible que otros equipos tuvieran listas de direcciones MAC adicionales.

Una vez infectados y atacados directamente, los ordenadores se dirigían a un sitio espurio llamado asushotfix.com para descargar una segunda puerta trasera. El mecanismo de ataque es intrigante, puesto que el número de ordenadores atacados fue muy reducido y quien quiera que esté detrás ya tenía preparada una lista de direcciones MAC.

Este suceso muestra un elevado nivel de sofisticación y sirve para ilustrar lo que se conoce como ataques en la cadena de suministro, que utilizan al propio fabricante y sus herramientas como vector para llegar a la víctima. De acuerdo con Kaspersky, "el modelo de confianza que estamos utilizando, basado en fabricantes conocidos y validación de firmas digitales, no puede garantizar que estés a salvo del malware".

Por el momento se desconoce el autor del malware o la persona que podría haberlo utilizado (que no siempre son lo mismo), pero los investigadores han encontrado parecidos entre este suceso y un grupo llamado ShadowPad, asociado a la actualización maliciosa de CCleaner y a un ataque menos conocido que puso en su punto de mira a una firma surcoreana especializada en el desarrollo de software para la administración de servidores.

Fuente: Motherboard
Joder, hay intrusiones en sus servidores y se percatan hasta 5 meses después?

No vale con securizar el servidor, ni ponerle filtrado MAC, ni la IP, ni el cortafuegos de la empresa, ni los permisos?

Madre mía... [facepalm] [facepalm]
fidillo escribió:Joder, hay intrusiones en sus servidores y se percatan hasta 5 meses después?

No vale con securizar el servidor, ni ponerle filtrado MAC, ni la IP, ni el cortafuegos de la empresa, ni los permisos?

Madre mía... [facepalm] [facepalm]

Yo creo que decir que estamos vendidos es poco XD

Si no te puedes fiar de estar seguro ni con gigantes como esté...
Yo creo que Kaspersky solo cuenta el 1% de muchas cosas que pasan no solo con Asus.
Saben mas de lo que creemos.
¿Cómo puedo saber si estoy infectado y cómo lo elimino, alguien sabe?

Saludos.
Os habeis fijado que en la noticia del blog de kaspersky hablan solo de portatiles asus?
https://www.kaspersky.com/blog/shadow-hammer-teaser/26149/

Türme escribió:¿Cómo puedo saber si estoy infectado y cómo lo elimino, alguien sabe?

Saludos.


En esta web metes tu MAC y te dice si estas o no dentro del listado de MACs infectadas
https://shadowhammer.kaspersky.com/


Aqui mas info:
https://securelist.com/operation-shadowhammer/89992/
@pqangel Muchas gracias por la info ahora mismo voy a verificar todos mis equipos Asus.


Saludos.
Pues seran un cabrones los hackers y tal...pero menudos makinas macho [boing]
Pues estamos apañados...
El unico ordenador seguro es el que esta apagado, desconectado y dentro de un bunquer, mientras tanto 0 información sensible conectada a la red y todo en copias de seg [bye]
FrutopiA escribió:El unico ordenador seguro es el que esta apagado, desconectado y dentro de un bunquer, mientras tanto 0 información sensible conectada a la red y todo en copias de seg [bye]


Las copias de seguridad a boli BIC, que si no te la juegas también!
esto es para flipar....y eso que es ASUS
FoxFurius escribió:Yo creo que decir que estamos vendidos es poco XD

Si no te puedes fiar de estar seguro ni con gigantes como esté...


Ser un gran, o buen, fabricante de hardware no implica que lo seas del software, y es el problema de tener una plataforma donde el software sobre el que funcionan tus ordenadores sea de otro fabricante, por mucho que pretendas conocer y controlar la plataforma siempre se te puede ir por algún lado, porque siempre habrá alguien que sepa del software mucho más que tu.

Ahora, es un problema inherente a la informática actual porque salvo Apple no hay ningún fabricante que esté usando su propio software sobre su propio hardware. Bueno, Microsoft está haciendo sus propias cosillas pero su presencia en el mercado es marginal.
Y por eso que formateé para tener un Windows limpio y por lo que actualizo manualmente mi portátil Asus...
13 respuestas