Lista con las 600 direcciones MAC afectadas en el hackeo a Asus

Parche de Asus tras el hackeo de su herramienta Live Update

Expertos de Skylight Cyber han hecho pública una lista que contiene el detalle por países de las 600 direcciones MAC atacadas durante la operación ShadowHammer, que afectó recientemente a usuarios de Asus en todo el mundo.

Para ser exactos, 583 son las direcciones que podemos encontrar en el listado publicado por estos expertos de ciberseguridad. Sin embargo, los potenciales afectados ascenderían a 1 millón

Operación ShadowHammer con objetivo Asus

La semana pasada tuvo bastante recpercusión la noticia de que alguien había conseguido hackear la herramienta LiveUpdate de Asus, destinada a descargar actualizaciones para su software en Android o Windows.

Esta campaña fue descubierta por expertos de la firma de antivirus Kaspersky en Enero de 2019 y parece ser que estuvo activa entre Junio y Noviembre de 2018.

La empresa, con la ayuda de Kaspersky, publicó hace escasos días un software que permite conocer si hemos sido víctimas y tenemos algo que corregir para volver a la normalidad.

Incluso han podido (haciendo un análisis de ingeniería sobre la utilidad citada) extraer el listado de 583 direcciones MAC (direcciones únicas para interfaces de red) afectadas.

Obteniendo el listado

El listado completo contebía 619 hashes salteados (con “salt”, es decir con números adicionales para que sean más robustos). 

Desde Skylight consideraron que conocer las direcciones ayudaría a los afectados, así que se pusieron manos a la obra para romperlos.

Para “crackear” estos hashes se utilizó una instancia Amazon AWS p3.16x large con 8 GPUs Nvidia Tesla V100, con una versión personalizada de la popular utilidad de rotura de contraseñas hashcat. Mediante fuera bruta fueron capaces de obtener casi la totalidad de hashes en texto claro: 583 de 619.

Datos adicionales de Qihoo

Los expertos de la firma de antivirus Qihoo decidieron también analizar las direcciones MAC del ataque a Asus LiveUpdate

Publicaron por su parte un gráfico que contiene los fabricantes de NIC o interfaces de red afectados en este caso.La mayor parte pertenecen a ASUS, Intel, AzureWave y LiteOn.

Dispersión del ataque

Kaspersky ha atribuído los ataques al grupo BARIUM APT, el mismo que fue responsable del ataque a la cadena de suministro contra CCleaner cuando este fue infectado no hace muchos meses. En este caso hablamos de otro ataque similar o supply chain attack.

Este grupo parece estar bajo el paraguas Winnti junto a otros grupos de este tipo, incluyendo winnti, APT17, Axiom, PlayFullDragon o APT17.

A continuación se puede ver el número de interfaces de red afectadas según el país de origen.

Lista con las 600 direcciones MAC afectadas en el hackeo a Asus

Se piensa que se ha intentado realizar un ataque de “alto nivel”, es decir, contra objetivos con alto valor estratégico o económico que pueden producir resultados importantes por sí mismos, no contra las masas. No sorprende que muchos de estos usuarios se encuentren en Rusia.

¿Qué hago si me encuentro entre los afectados?

Es recomendable que realices un formateo del equipo y comiences de cero (mejor un formateo a bajo nivel)

En cuanto al software de Asus, la actualización a la versión 3.6.8 ya publicada resuelve la vulnerabilidad aprovechada por los atacantes. También puedes utilizar la herramienta web de Asus para saber si debes tomar medidas.

Además, es recomendable implementar alguna técnica de cifrado para proteger los datos en tránsito y de forma estática en el equipo. Existen múltiples alternativas opensource (Veracrypt, por ejemplo) o propietarias (Bitlocker) para lograrlo.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.