no se ha ido y , cómo los investigadores de seguridad de plataformas informáticas detectaron nuevamente el servicio en la nube de ASUS en puertas traseras. Esta vez, el servicio y el software de WebStorage se vieron comprometidos. Con su ayuda, el grupo de hackers BlackTech Group instaló el malware Plead en los ordenadores de las víctimas. Más precisamente, el especialista japonés en ciberseguridad Trend Micro considera que el software Plead es una herramienta del grupo BlackTech que le permite identificar a los atacantes con cierto grado de precisión. Agreguemos que el grupo BlackTech se especializa en ciberespionaje y sus objetivos son instituciones gubernamentales y empresas del sudeste asiático. La situación con el reciente hackeo de ASUS WebStorage estaba relacionada con las actividades del grupo en Taiwán.
Los especialistas de Eset descubrieron actividad de alegaciones en el programa ASUS WebStorage a finales de abril. Anteriormente, el grupo BlackTech distribuía Plead mediante ataques de phishing a través de correo electrónico y enrutadores con vulnerabilidades abiertas. El último ataque fue inusual. Los piratas informáticos insertaron Plead en el programa ASUS Webstorage Upate.exe, que es la herramienta de actualización de software patentada de la empresa. Luego, la puerta trasera también fue activada por el programa propietario y confiable ASUS WebStorage.
Según los expertos, los piratas informáticos pudieron introducir una puerta trasera en las utilidades de ASUS debido a una seguridad insuficiente en el protocolo HTTP mediante el llamado ataque man-in-the-middle. Se puede interceptar una solicitud para actualizar y transferir archivos desde los servicios de ASUS a través de HTTP y, en lugar de software confiable, se transfieren archivos infectados a la víctima. Al mismo tiempo, el software de ASUS no tiene mecanismos para verificar la autenticidad de los programas descargados antes de ejecutarlos en la computadora de la víctima. Es posible interceptar actualizaciones en enrutadores comprometidos. Para ello, basta con que los administradores descuiden la configuración predeterminada. La mayoría de los enrutadores en la red atacada son del mismo fabricante con nombres de usuario y contraseñas configurados de fábrica, cuya información no es un secreto muy bien guardado.
El servicio ASUS Cloud respondió rápidamente a la vulnerabilidad y actualizó los mecanismos en el servidor de actualización. Sin embargo, la empresa recomienda que los usuarios revisen sus propios ordenadores en busca de virus.
Fuente: 3dnews.ru