Miles de ordenadores Asus han sido secuestrados por un virus para instalar puertas traseras

Los cibercrminales han logrado instalar un troyano que se alojó en el programa oficial de actualización de software

Actualizado:

Un virus troyano ha conseguido afectar a más de 57.000 usuarios de los ordenadores de ASUS y ha incorporado una puerta trasera en el programa oficial de actualización de software de la compañía, Live Update, que se estima que se ha distribuido entre un millón de equipos de la marca en total.

Investigaciones de la compañía especializada en ciberseguridad Kaspersky Lab han confirmado que un troyano, al que han llamado ShadowHammer, se alojó en el programa oficial de actualización de software ASUS Live Update.

Según los expertos de Kaspersky, el troyano se introdujo en el programa de actualizaciones de ASUS en la cadena de producción tanto de ordenadores portátiles como de sobremesa, y la puerta trasera da acceso a funciones como la BIOS, la interfaz entre el sistema operativo y el firmware (UEFI) y las actualizaciones de 'software'.

Los estudios de Kaspersky han demostrado que más de 57.000 usuarios utilizaban versiones de este programa infectado, aunque se estima que se distribuyó a aproximadamente un millón de personas en total, desde su localización el 29 de enero de este año, según informa el medio « Motherboard».

Sin embargo, los investigadores afirman que los ciberdelincuentes no atacaron a la totalidad de usuarios afectados, sino que sus ataques se dirigieron a 600 direcciones de «Media Access Control» (MAC) específicas.

Los ataques se han dirigido en su mayor parte a usuarios de Rusia (en un 18 por ciento de los casos), seguido de otros países como Alemania, Francia y Estados Unidos, que en este último caso ha acumulado el 5 por ciento de los ataques.

El director del equipo de análisis e investigación global de Kaspersky, Costin Raiu, explica a «Motherboard» que «si no eres un objetivo, el 'malware' es prácticamente silencioso», aunque sigue siendo una puerta trasera para los atacantes en todos los equipos donde se encuentre.

El archivo malicioso enviado a las víctimas fue un archivo de actualización de ASUS de tres años de antigüedad en el que los atacantes inyectaron un código malicioso antes de firmarlo con un certificado de ASUS legítimo, según se explica en la publicación de «Motherboard», y que se envió entre junio y noviembre de 2018.

Además, las investigaciones de Kaspersky han detectado que estas mismas técnicas fueron usadas contra otros tres proveedores, los cuales ya han sido notificados junto con ASUS, y que ShadowHammer está relacionado con los ataques de ShadowPad y CCleaner, por lo que se cree que fue en este último ataque donde obtuvieron acceso a los servidores de ASUS.

Asus asegura que no ha afectado a los usuarios

ASUS ha asegurado que el ataque que ha sufrido su sistema de actualizaciones ha sido de tipo Amenaza Persistente Avanzada (APT) llevado a cabo por «un par de países y dirigido hacia organizaciones, países o entidades, no individuos», como consta en un comunicado remitido a Europa Press.

La compañía taiwanesa ha confirmado que el ataque ha afectado a «un grupo de usuarios pequeño y concreto», de los que «un reducido número de dispositivos» se ha infectado con código malicioso como parte de «un sofisticado ataque» a los servidores de Live Update.

Asimismo, ASUS ha defendido también que la nueva actualización de Live Update, en la versión 3.6.8, «implementa múltiples mecanismos de verificación de seguridad y un sistema de cifrado nuevo que previenen» los ataques por actualizaciones.

El fabricante concluye asegurado haber «reforzado nuestra arquitectura software del servidor al usuario final para evitar que otros ataques similares puedan ocurrir en el futuro», y ha compartido también una herramienta de diagnóstico para comprobar los sistemas afectados.