Hardware y software

"ASUS Software Update Server Hacked to Distribute Malware"

Por SoNiKiT0 — 25 mar 19, 21:46
B
[Borrado] #1 Mar '19

Los pelos como escarpias.

Entre junio y noviembre de 2018, gracias a una falsificación de certificado, se han colado en los servidores de Asus que distribuyen actualizaciones a sus componentes de hardware. Asus no se enteró hasta que les informaron desde Kaspersky Lab el 31 de enero de este 2019. El hecho de que haya sido mediante una falsificación de certificado tan gorda es lo que ha provocado que las alarmas saltaran tan tarde.

El caso recuerda mucho al hackeo sufrido por CCleaner en septiembre de 2017. La voz de alarma fue dada por Kaspersky Lab, que ha contabilizado al menos 57.000 usuarios infectados y confirmado por Symantec con una cifra de 13.000 máquinas.

Aun no se conocen las cifras oficiales, pero la estimación teórica ronda al menos el millón de usuarios. Los países más afectados (por ahora) han sido Rusia, Alemania, Francia, Italia y Estados Unidos. Inicialmente Asus negó que la infección hubiera salido de sus servidores, pero el tiempo y las investigaciones avanzan y parece que Asus no se ha pronunciado pública ni oficialmente (si encontrais algo tipo comunicado oficial sería muy útil para cualquier interesado).

A pesar de la gravedad del incidente parece ser que los hackers buscaban infectar direcciones MAC específicas. Todavía falta mucha información y datos, pero por el momento no es algo ligero.

https://thehackernews.com/2019/03/asus-computer-hacking.html

Si algún moderador o usuario tiene más información que contrastar, bienvenido sea.

B
[Borrado] #2 Mar '19

-
-Pr0dyh- #3 Mar '19

Sí no es una vulnerabilidad de Intel no interesa.

B
[Borrado] #4 Mar '19

Gracias a que no tengo nada Asus en mi casa

1 respuesta
Denian
Denian #5 Mar '19

#4 Estoy igual, por malas experiencias con hardware suyo en el pasado es una marca que tengo betada desde hace años, no la toco ni con una pertiga.

B
[Borrado] #6 Mar '19

quien compra asus es por la marca. asi que todo esto o lo que esté comprando le da lo mismo. Seguirá igual de feliz porque tiene un asus.

aqui en españa como si escucharan llover, en USA que se arromanguen que la que les va a caer va a ser gorda

2 respuestas
koalas
koalas #7 Mar '19 :psyduck:

#6 entonces me estas diciendo que mi asus prime z390 a es una mierda? Cabron me has liao :(

1 respuesta
B
[Borrado] #8 Mar '19

#7 yo no te he liao, esa placa la elegiste tu, yo te recomendé otras
justamente en el chip 390 las asus son inferiores , o mucho mas caras para los mismo vrm.

1 respuesta
B
[Borrado] #9 Mar '19

Mis 2 monitores son ASUS!. Oh shit.

koalas
koalas #10 Mar '19 :psyduck:

#8 buas bueno por ahora no tengo ninguun problema, en que puedo notar yo que sean inferiores?

1 respuesta
B
[Borrado] #11 Mar '19

#10 solo si tiras a hacer oc a 5.2ghz, que se te calienten los vrm en exceso y baje de frecuencia.
de stock no tendras problema alguno.

1 respuesta
hda
hda #12 Mar '19 Agujeros negros ( ͡° ͜ʖ ͡°)

Esta noticia es una salvajada. No se discute si Asus sí o Asus no, que ya hay que tenerlos torcidos para sacar el tema.

Atacan a una las más grandes compañías del sector. Emulan su certificado. Infectan sus batch de actualizaciones y diseminan un bicho. Es una barbaridad. Estoy buscando más info.

3 1 respuesta
koalas
koalas #13 Mar '19 :psyduck:

#11 supongo que para hacer oc a un i9 con lo calentorro que es... Pues como que no creo que haga falta de aqui a unos años...

Toco madera hasta entonces. Cual me habrias recomendado? Que no me acuerdo jajajaj

B
[Borrado] #14 Mar '19

#12 que los clientes de asus se enteren casi 1 año despues, solo deja claro que lo que hacen con el dinero que ganan extra de la marca se lo gastan en barcos y putas, en vez de dar calidad en su servicio.

2 respuestas
neo-ns
neo-ns #15 Mar '19

#14 en todo caso seria en ciberseguridad, no en calidad de servicio.

1 1 respuesta
hda
hda #16 Mar '19 Agujeros negros ( ͡° ͜ʖ ͡°)

#14 abre los ojos, @Kyasca , esto va más allá del fanboyismo. Y por descontado que la empresa invierte mucha pasta en ciberseguridad.

1 respuesta
B
[Borrado] #17 Mar '19

#15 si, en su servicio de actualizaciones.

si crees que meterte malware por ahi es un buen servicio, tu adelante.
#16 ¿cuanto invierte? lo sabes seguro? o si acaso solo los numeros contables que publique, que siempre distan de la realidad.

2 respuestas
hda
hda #18 Mar '19 Agujeros negros ( ͡° ͜ʖ ͡°)

#17 pero a ver, chico, ¿tú crees que una empresa como Asustek, más siendo del sector IT, va a invertir poco en ciberseguridad?

1 respuesta
B
[Borrado] #19 Mar '19

#18 no, ha invertido una barbaridad, y ha gestionado esos recursos con cabeza, a la vista de los resultados está.

1 respuesta
hda
hda #20 Mar '19 Agujeros negros ( ͡° ͜ʖ ͡°)

#19 Se te ve entendido en ciberseguridad.

1 respuesta
B
[Borrado] #21 Mar '19

#20 tanto como tu, quizá un poco más.

1 respuesta
DunedainBF
DunedainBF #22 Mar '19

Ya está bautizada la criatura. Shadowhammer.

Kaspersky ha habilitado una herramienta para comprobar si estás afectado

https://shadowhammer.kaspersky.com/

2 respuestas
hda
hda #23 Mar '19 Agujeros negros ( ͡° ͜ʖ ͡°)

#22 Sí, por lo mismo algo parecido con lo que pasó con CCleaner.

Es curioso eso de que solo hubiese despliegue por MACs, siguen con análisis forense. A ver a dónde lleva esto. Me sorprende un montón.

#21 yo no sabré mucho, pero es un tema que me interesa y que suelo seguir un tanto:

spoiler
1 respuesta
B
[Borrado] #24 Mar '19

#23 entonces deberías saber, que, que entren en un servidor, y modifiquen X software en él, sin que nadie se percate de nada durante medio año hasta que te avisa un tercero ... no es de aplaudir.
y que encima, apuesto a que, desde que lo sabian hasta ahora no han dicho nada a sus clientes, que podrían estar gravemente afectados.

1 respuesta
hda
hda #25 Mar '19 Agujeros negros ( ͡° ͜ʖ ͡°)

Aquí nos encontramos con tres bloques diferentes:

1) Fanboyismo (contra lo que atacas en #6 )
2) Posibles malas prácticas (o insuficiente inversión en ciberseguridad) #17 y ss. Poco antes abordabas calidad cuando deberías indicar ciberseguridad
3) Que ningún sistema es invulnerable. Que es lo que destilo en #12 cuando entro en este hilo

A mí me parece genial que seas antiasus y que descalifiques cuanto gustes a los clientes de esta marca. Está genial. Pero 1) no es el bloque importante. También podemos entrar a discutir si la práctica de publicar o no el fallo de seguridad una vez encontrado por un auditor externo se debe hacer antes o más tarde. Aquí hay muchos factores macroeconómicos con los que pienso no contamos, al respecto de sus valores bursátiles o del cierre del ejercicio fiscal, qué sé yo. Amén de esto nos encontramos con las dificultades técnicas, el análisis forense del ataque y de entender cómo abordar su solución. No lo justifico pero tampoco entro a valorar con horcas y antorchas por lo que comento. Al respecto de la mala praxis se podría discutir, pero tu bloque 2) iba sobre todo por la falta de inversión en ciberseguridad, yo creo que esto es infundado. No tengo datos, pero cabe pensar que estando en el sector y siendo una empresa tan potente sí invierta en ello.

Después de todos estos hombres de paja deberíamos discutir sobre lo realmente interesante, que es el bloque 3. No existe un sistema invulnerable. Tú puedes invertir mucho dinero en ciberseguridad y seguir teniendo agujeros (o nuevos agujeros, aquí radica la clave). Desde eavesdrop por el cable de VGA, hasta sniffing por el led del disco duro con un drone. En este caso nos encontramos con que han emulado la firma de asustek (aún no sé cómo) quedando un certificado legal, introduciéndose en los servidores e infectando el batch de actualizaciones para diseminar el hack. Esto es una barbaridad.

¿Qué hay de que lo haya encontrado Kaspersky? Bueno, entiende que Kaspersky tiene un laboratorio destinado al análisis de bichos, independientemente de su procedencia. Si topan con un bicho nuevo (y topan con muchos por eurística en tantos otros usuarios de su antivirus) y trazan un troyano pueden ir tirando del hilo hasta encontrar la fuente. ¿O te crees que Kaspersky estaba haciendo pentesting sobre asus?

Lo curioso es que el bicho solo se active con macs concretas. Esto tiene pinta de ser un bicho desde la competencia 100%.

B
[Borrado] #26 Mar '19

Creo que ambos teneis razon. ¿Que seguro que tenian una inversiom decente en ciberseguridad? Probablemente, pero al parecer no lo suficiente. Con unas comprobaciones periodicas tipo redundancia ciclica de todos los paquetes o algo asi podrian haberlo notado. Eso si, el trameo de certificado es brutal, les abre las puertas de par en par.

Para usuarios normales no supone mucho, sobretodo si buscaban targets especificos. Pero eso no quita que te metan cualquier mierda al nivel de capas mas bajo y te usen para una botnet de zombies en el futuro cuando si les sirvas de provecho. Aunque sea para hacer un simple ataque de denegacion de servicio.

El marrón que tienen encima es gordo. Más les vale sacar algo en claro pronto y hacer algun comunicado oficial con alternativas. Por ejemplo recomendar el uso de la herramienta de #22 nose, me parece lo minimo.

Por cierto, hoy en El Pais hay en portada un ataque al Ministerio de Defensa, pero es mas para reirse, sobretodo viendo a quienes acusan xDD

neo-ns
neo-ns #27 Mar '19

#24 existen los ataques laterales.

A no ser que tengas un buen IDS + EDR, vas muy vendido.

Eso a nivel de firewall + endpoint.

La ciberseguridad, si hay 2000000000000000 millones de intentos, tiene que funcionar las 2000000000000000 veces, para un ciberdelincuente que suelen tener mucho tiempo libre, con que de esos 2000000000000000 intentos, falle 1 vez ya esta.

Y muchas veces muchos problemas de seguridad es por culpa de los propios usuarios, que son mas peligrosos que los "hackers".

garlor
garlor #28 Mar '19

y como coño les han birlado/emulado/loquesea el certificado?

Usuarios habituales

Tags