Instalan malware en actualizaciones de Asus e infectan miles de computadores
Se levantaron las alarmas en Taiwán: Kaspersky Lab, la conocida firma de ciberseguridad rusa, descubrió una vulnerabilidad crítica en equipos Asus alrededor del mundo, y aparentemente el propio fabricante tendría la culpa.
El fabricante con sede en Taipei fue usado para instalar un backdoor malicioso en miles de computadores de la marca, a través de la herramienta de actualizaciones automáticas de la máquina. Lo peor es que al venir del propio servidor de Asus, estaba firmado con un certificado digital para hacerlo parecer auténtico.
Según los investigadores, Asus lleva más de cinco meses entregando estas actualizaciones con malware a sus usuarios, y se estima que las máquinas infectadas superarían el medio millón. De todas maneras, los ataques sólo estarían dirigidos a unas 600 máquinas con una dirección MAC única, las que fueron infectadas con más malware desde el centro de comando de los hackers.
Kaspersky Lab descubrió el ataque en enero de este año, usando una nueva herramienta de detección de malware en “cadenas de suministro”, la que permite encontrar fragmentos de código anómalo escondidos en programas “legítimos” o código que a primeras luces se ve normal.
De hecho, la firma de seguridad informática planea lanzar un estudio el próximo mes sobre este ataque, al que denominan “ShadowHammer”.
Redefiniendo el concepto de “troyano”
Los ataques de “cadena de suministro” se han vuelto más usuales y comunes en los últimos meses. En ellos, un atacante instala código malicioso en dos situaciones posibles: mientras el equipo es manufacturado o ensamblado, o bien a través de canales aparentemente seguros de instalación o actualización de software.
Si bien gran parte de la atención a estos ataques se centra en la manufactura, la segunda opción es bastante más grave: las actualizaciones de sistema, sobre todo si están firmadas por el fabricante, siempre han sido seguras y los usuarios confían en ellas precisamente porque provienen del fabricante, desde servidores que uno presume no son vulnerables.
En este caso en particular, Asus le negó a Kaspersky que sus servidores de actualizaciones estuvieran comprometidos. Sin embargo, el camino de descarga de dichas actualizaciones proviene directamente del servidor del gigante tecnológico de Taiwán, según los investigadores.
A tener cuidado con lo que instalas, porque al parecer ya no quedan muchos lugares seguros.