En nuestra publicación anterior sobre la operación ShadowHammer prometimos traeros más información y, aunque la investigación sigue en proceso, nuestros investigadores están dispuestos a compartir una serie de detalles sobre este ataque de cadena de suministro tan sofisticado.
Magnitud de la operación
Como ya hemos comentado, ASUS no es la única compañía que han utilizado los atacantes. Tras estudiar el caso, nuestros expertos descubrieron otras muestras con algoritmos similares. Al igual que con ASUS, estas muestras utilizaban binarios con firma digital de otros tres proveedores asiáticos:
- Electronics Extrem, autores del juego de zombis llamado Infestation: Survivor Stories.
- Innovative Extremist, una empresa que ofrece servicios de infraestructura informática y web, pero que también se utiliza para el desarrollo de juegos.
- Zepetto, la empresa surcoreana que desarrolló el videojuego Point Blank.
Según nuestros investigadores, los atacantes podían acceder al código fuente de los proyectos de las víctimas o infectar con malware en el momento de la compilación del proyecto, es decir, estaban dentro de las redes de esas compañías. Todo esto nos recuerda un ataque sobre el que informamos hace un año: el incidente de CCleaner.
Además, nuestros expertos identificaron tres víctimas más: otra compañía de videojuegos, un conglomerado de sociedades y una compañía farmacéutica, todas en Corea del Sur. Por ahora no podemos compartir más información sobre las víctimas, pues estamos informándoles sobre el ataque.
Objetivos
En los casos de Electronics Extreme, Innovative Extremist y Zepetto, el software comprometido entregó una carga útil bastante simple a los sistemas de las víctimas, pero capaz de recopilar información sobre el sistema, incluidos los nombres de usuario, las especificaciones del ordenador y las versiones del sistema operativo. También podría utilizarse para descargar la carga maliciosa de los servidores de mando y control, por lo que, a diferencia del caso de ASUS, la lista de las posibles víctimas no se limitó a una lista de direcciones MAC.
Además, esa lista de más de 600 direcciones MAC no limitó los objetivos a esas 600 (o más), ya que al menos una de ellas pertenece a un adaptador Ethernet virtual y todos los usuarios de ese dispositivo comparten la misma dirección MAC.
Para más información técnica, visita esta publicación en Securelist.
Cómo evitar convertirte en un eslabón del ataque de la cadena de suministro
En todos los casos mencionados anteriormente los atacantes obtuvieron certificados válidos y comprometieron los entornos de desarrollo de sus víctimas. Por tanto, nuestros expertos recomiendan que los proveedores de software introduzcan otro procedimiento en su proceso de producción de software que lo analice también en busca de posibles infecciones de malware incluso después de que el código haya recibido la firma digital.
Para evitar este tipo de ataque, debes contar con una serie de buscadores de amenazas experimentados. Con el servicio Targeted Attack Discovery, nuestros expertos te ayudarán a identificar la actividad cibercriminal y de espionaje en tu red y a comprender los motivos y las posibles fuentes de estos incidentes. Además, podemos ofrecer Kaspersky Managed Protection con una supervisión ininterrumpida y un análisis continuo de los datos de ciberamenazas. Para más información sobre el trabajo de nuestros analistas de seguridad en la detección de amenazas avanzadas, visita la página de Kaspersky Threat Hunting.