Un ataque a la cadena de suministro es uno de los vectores de infecci\u00f3n m\u00e1s peligrosos y, a la vez, m\u00e1s eficaz y cada vez m\u00e1s utilizado<\/a> en los \u00faltimos a\u00f1os en operaciones avanzadas, como hemos visto con ShadowPad<\/a> o CCleaner<\/a>. En concreto, se dirige contra puntos d\u00e9biles concretos en los sistemas interconectados de recursos humanos, organizativos, materiales e intelectuales implicados en el ciclo de vida del producto, desde el desarrollo inicial hasta llegar al usuario final. Si bien la infraestructura de un proveedor puede ser segura, puede haber vulnerabilidades en las instalaciones de sus proveedores que llegar\u00edan a sabotear la cadena de suministro, provocando una brecha de datos inesperada y devastadora. <\/p>\n\n\n\n Los actores detr\u00e1s de ShadowHammer se dirigieron contra la utilidad ASUS Live Update como fuente inicial de infecci\u00f3n. Esta es una utilidad preinstalada en la mayor\u00eda de los nuevos computadores de ASUS para actualizaciones autom\u00e1ticas de BIOS, UEFI, controladores y aplicaciones. Usando certificados digitales robados utilizados por ASUS para firmar binarios leg\u00edtimos, los atacantes manipularon versiones anteriores del software ASUS instalando su propio c\u00f3digo malicioso. Las versiones troyanas de la utilidad se firmaron con certificados leg\u00edtimos, aloj\u00e1ndose y distribuy\u00e9ndose desde los servidores oficiales de actualizaciones de ASUS, haci\u00e9ndolas pr\u00e1cticamente invisibles para la gran mayor\u00eda de las soluciones de protecci\u00f3n.<\/p>\n\n\n\n Aunque, potencialmente, todos los usuarios del software afectados pueden convertirse en v\u00edctimas, los cibercriminales detr\u00e1s de ShadowHammer se enfocaron en conseguir accesos a varios cientos de usuarios, de los que ya ten\u00edan un conocimiento. Tal y como descubrieron los analistas de Kaspersky Lab, cada c\u00f3digo backdoor conten\u00eda una tabla de direcciones MAC codificadas, el \u00fanico identificador de los adaptadores de red utilizados para conectar un computador a una red. Una vez que se ejecutaba el programa en el dispositivo de la v\u00edctima, la puerta trasera verificaba su direcci\u00f3n MAC contra esta tabla. Si la direcci\u00f3n MAC coincid\u00eda con una de las entradas, el malware descargaba la siguiente etapa del c\u00f3digo malicioso. De lo contrario, no se mostraba ninguna actividad de red, por lo que permanec\u00eda durante mucho tiempo sin ser descubierto. En total, los analistas de seguridad pudieron identificar m\u00e1s de 600 direcciones MAC, que fueron el objetivo de m\u00e1s de 230 muestras \u00fanicas de backdoor utilizando diferentes shellcodes.<\/p>\n\n\n\n El enfoque modular y las precauciones adicionales que se tomaban al ejecutar el c\u00f3digo para evitar el c\u00f3digo accidental o la fuga de datos indican que era muy importante que los actores detr\u00e1s de este ataque sofisticado permanecieran sin ser detectados mientras atacaban con precisi\u00f3n quir\u00fargica algunos objetivos muy concretos. Un profundo an\u00e1lisis t\u00e9cnico muestra que el arsenal de los atacantes era muy avanzado y reflejaba un nivel muy alto de desarrollo dentro del grupo.<\/p>\n\n\n\n La b\u00fasqueda de malware similar ha revelado la existencia de software procedente de otros tres proveedores en Asia, todos ellos con m\u00e9todos y t\u00e9cnicas muy similares. Kaspersky Lab ha informado del incidente a Asus y a otros proveedores.<\/p>\n\n\n\n \u201cLos proveedores seleccionados son objetivos muy atractivos para grupos de APT que podr\u00edan querer aprovecharse de su amplia base de clientes. Todav\u00eda no est\u00e1 muy claro cu\u00e1l fue el objetivo final de los cibercriminales y continuamos investigando qui\u00e9n estuvo detr\u00e1s del ataque. Sin embargo, las t\u00e9cnicas utilizadas para lograr la ejecuci\u00f3n no autorizada de c\u00f3digo, as\u00ed como otros objetos descubiertos, sugieren que ShadowHammer est\u00e1 probablemente relacionado con la BARIUM APT, que anteriormente estaba vinculada a los incidentes ShadowPad y CCleaner, entre otros. Esta nueva campa\u00f1a es un ejemplo m\u00e1s de lo sofisticado y peligroso que puede llegar a ser un ataque de cadena de suministro inteligente en la actualidad”,<\/em> ha asegurado Vitaly Kamluk, directora del Equipo de An\u00e1lisis e Investigaci\u00f3n Global, APAC, en Kaspersky Lab.<\/p>\n\n\n\n Todos los productos de Kaspersky Lab detectan y bloquean con \u00e9xito el malware utilizado en la Operaci\u00f3n ShadowHammer.<\/p>\n\n\n\n Para evitar ser v\u00edctimas de un ataque dirigido por un actor de amenazas conocido o desconocido, los analistas de Kaspersky Lab recomiendan implementar las siguientes medidas:<\/p>\n\n\n\n Kaspersky Lab presentar\u00e1 los resultados completos sobre la Operaci\u00f3n ShadowHammer en la cumbre Security Analyst Summit 2019, que tendr\u00e1 lugar en Singapur del 9 al 11 de abril.<\/p>\n\n\n\n El informe completo sobre la campa\u00f1a de ShadowHammer est\u00e1 disponible para los clientes de Kaspersky Intelligence Reporting Service.<\/p>\n\n\n\n As\u00ed mismo, en\u00a0Securelist<\/a>\u00a0est\u00e1 disponible un resume del ataque junto con una\u00a0herramienta<\/a>\u00a0especial dise\u00f1ada para validar si los dispositivos de los usuarios que fueron atacados. La validaci\u00f3n tambi\u00e9n est\u00e1 disponible en este\u00a0enlace<\/a>.\u00a0\u00a0 \u00a0<\/strong><\/p>\n\n\n\n Agencia de Prensa y Relaciones P\u00fablicas<\/p>\n","protected":false},"excerpt":{"rendered":" Bogot\u00e1, Colombia \u2013 Marzo de 2019 Kaspersky Lab descubri\u00f3 una nueva campa\u00f1a de amenazas persistentes avanzadas (APT) que ha afectado a un elevado n\u00famero de usuarios a trav\u00e9s de lo que se conoce como un ataque a la cadena de suministro. Las investigaciones de Kaspersky Lab encontraron que los actos de amenazas detr\u00e1s de la […]<\/p>\n","protected":false},"author":2,"featured_media":5511,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"nf_dc_page":"","footnotes":""},"categories":[98],"tags":[176,195,119],"class_list":["post-5509","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-kaspersky-lab","tag-kaspersky","tag-syspertec","tag-tecnologia"],"jetpack_featured_media_url":"https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/03\/20190326_Operacio\u0301n-ShadowHammer.jpg","_links":{"self":[{"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/posts\/5509","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/comments?post=5509"}],"version-history":[{"count":1,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/posts\/5509\/revisions"}],"predecessor-version":[{"id":5512,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/posts\/5509\/revisions\/5512"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/media\/5511"}],"wp:attachment":[{"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/media?parent=5509"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/categories?post=5509"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/tags?post=5509"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"\"](\"https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2018\/08\/Sypsertec-sas-negro-peq-2.png\")
<\/figure>\n\n\n\n