Los piratas informáticos atacaron y comprometieron a "cientos de miles" de propietarios de computadoras de Asus al empujar una herramienta de software de actualización de puerta trasera desde los propios servidores de la compañía.
Los reclamos de la bomba, informados por primera vez por Motherboard, dijeron que los piratas informáticos firmaron digitalmente la herramienta Asus Live Update con uno de los certificados de firma de código propios de la empresa antes de enviarlo a los servidores de descarga de Asus, que albergó la herramienta de puerta trasera durante meses el año pasado. Las actualizaciones maliciosas se enviaron a las computadoras Asus, que tiene el software instalado de forma predeterminada.
TechCrunch puede confirmar gran parte de los informes de Motherboard después de que nos enteramos del ataque hace algunas semanas de una fuente con conocimiento directo del incidente.
Kaspersky, que primero encontró el software de puerta trasera, dijo que la herramienta de actualización maliciosa se instaló en hasta medio millón de computadoras.
La puerta trasera escanearía un dispositivo en busca de la dirección MAC única de un objetivo y extrae una carga maliciosa de un servidor de comando y control.
Los informes de la placa madre indicaron que la puerta trasera estaba escaneando unas 600 direcciones MAC, coincidiendo con lo que TechCrunch había aprendido, y probablemente estaba dirigido a infectar solo a un pequeño número de víctimas en lugar de causar infecciones a gran escala.
Symantec confirmó los hallazgos de Kaspersky y nos lo describió como un ataque de cadena de suministro de software. "Nuestros hallazgos sugieren que la versión trojanizada del software se envió a los clientes de ASUS entre junio y octubre", dijo la portavoz Jennifer Duffourg a TechCrunch.
Se cree que los hackers tuvieron acceso a los certificados de Asus para firmar el malware.
Uno de los archivos de puerta trasera usó un certificado creado a mediados de 2018 pero que era diferente de los certificados que usaba Asus regularmente.
Según el informe de Motherboard, los certificados aún están activos y no han sido revocados, lo que representa un riesgo continuo para los clientes de Asus.
Sin embargo, no se sabe exactamente qué carga útil se entregó a las víctimas.
La puerta trasera tiene un parecido con CCleaner, que de manera similar utiliza un certificado de firma de código para ocultar cualquier componente malicioso. Cerca de 2,3 millones de clientes se vieron afectados por esa puerta trasera, culpada de piratas informáticos que supuestamente atacaron a gigantes tecnológicos.
Asus no ha informado a los clientes de la vulnerabilidad después de que se descubrió a principios de este año.
La placa base dijo que Kaspersky informó sobre el software de puerta trasera el 31 de enero. Se dice que Asus, con sede en Taiwán, tiene alrededor de un 6 por ciento del mercado de computadoras, según Gartner, que envía decenas de millones de computadoras cada año.
Cuando nos contactaron la semana pasada acerca de las reclamaciones, el vocero de Asus, Gary Key, no tuvo respuesta inmediata a varias preguntas que tuvimos y remitió los comentarios a su sede.
Sarah Kitsos de Kaspersky no comentó sobre los hallazgos.
Source link