Cada suministro de software Un ataque en cadena, en el que los piratas informáticos corrompen una aplicación legítima para enviar su malware a cientos o potencialmente miles de víctimas, representa un nuevo e inquietante brote de un flagelo de ciberseguridad. Pero cuando ese ataque a la cadena de suministro es llevado a cabo por un misterioso grupo de piratas informáticos, abusando de un modelo de software confiable de Microsoft para hacer que su malware se haga pasar por legítimo, representa un adversario peligroso y potencialmente nuevo que vale la pena observar.
Hoy, investigadores del equipo Threat Hunter de la empresa de seguridad Symantec, propiedad de Broadcom, revelaron que habían detectado un ataque a la cadena de suministro llevado a cabo por un grupo de piratas informáticos al que recientemente llamaron CarderBee. Según Symantec, los piratas informáticos secuestraron las actualizaciones de software de un software de seguridad de origen chino conocido como Cobra DocGuard, inyectando su propio malware dirigido a unas 100 computadoras en toda Asia, principalmente en Hong Kong. Aunque algunas pistas, como la explotación de DocGuard y otros códigos maliciosos que instalaron en las máquinas víctimas, vinculan vagamente a CarderBee con operaciones de piratería anteriores patrocinadas por el estado chino, Symantec se negó a identificar a CarderBee como cualquier grupo previamente conocido, sugiriendo que podría ser un nuevo equipo.
Más allá del habitual y perturbador abuso de confianza en el software legítimo que ocurre en toda cadena de suministro de software, dice Symantec, los piratas informáticos también lograron que su código malicioso (una puerta trasera conocida como Korplug o PlugX y comúnmente utilizada por los piratas informáticos chinos) fuera firmada digitalmente por Microsoft. La firma, que Microsoft suele utilizar para designar código confiable, hizo que el malware fuera mucho más difícil de detectar.
“Cada vez que vemos un ataque a la cadena de suministro de software, es algo interesante. Pero en términos de sofisticación, esto está muy por encima del resto”, dice Dick O’Brien, analista principal de inteligencia del equipo de investigación de Symantec. «Éste tiene las características de un operador que sabe lo que está haciendo».
Cobra DocGuard, que irónicamente se comercializa como un software de seguridad para cifrar y proteger archivos basado en un sistema de privilegios de los usuarios dentro de una organización, tiene alrededor de 2.000 usuarios, según Symantec. Entonces, el hecho de que los piratas informáticos eligieran sólo unas 100 máquinas en las que instalar su malware (capaz de todo, desde ejecutar comandos hasta registrar pulsaciones de teclas) sugiere que CarderBee puede haber analizado miles de víctimas potenciales para apuntar específicamente a esos usuarios, argumenta O’Brien. Symantec se negó a nombrar a las víctimas objetivo o decir si eran en gran medida empresas gubernamentales o del sector privado.
La aplicación Cobra DocGuard es distribuida por EsafeNet, una empresa propiedad de la firma de seguridad Nsfocus, que fue fundada en China continental en 2000 pero que ahora describe su sede como Milpitas, California. Symantec dice que no puede explicar cómo CarderBee logró corromper la aplicación de la compañía, lo que en muchos ataques a la cadena de suministro de software involucra a piratas informáticos que violan a un distribuidor de software para corromper su proceso de desarrollo. Nsfocus no respondió a la solicitud de comentarios de WIRED.
El descubrimiento de Symantec no es en realidad la primera vez que Cobra DocGuard se utiliza para distribuir malware. La empresa de ciberseguridad ESET descubrió que en septiembre del año pasado se utilizó una actualización maliciosa de la misma aplicación para violar una empresa de juegos de azar de Hong Kong e instalar una variante del mismo código Korplug. ESET descubrió que la empresa de juegos de azar también había sido violada mediante el mismo método en 2021.