Hace tan solo un par de días, investigadores del equipo Threat Hunter de la empresa de seguridad Symantec, propiedad de Broadcom, revelaron que habían detectado un ataque a la cadena de suministro llevado a cabo por un grupo de piratas informáticos al que recientemente llamaron “CarderBee”, en el cual, los piratas informáticos secuestraron las actualizaciones de software de un software de seguridad de origen chino conocido como “Cobra DocGuard”, introduciendo su propio malware dirigido a unas 100 computadoras en toda Asia, primordialmente en Hong Kong.
CarderBee: el ataque a la cadena de suministro
Según Symantec, los piratas informáticos también lograron que su código malicioso (una puerta trasera conocida como Korplug o PlugX y frecuentemente usada por los piratas informáticos chinos) fuera firmada digitalmente por Microsoft. Cabe acotar que la firma, que Microsoft suele utilizar para designar código confiable, hizo que el malware fuera mucho más difícil de detectar.
Cobra DocGuard, que irónicamente se comercializa como un software de seguridad para cifrar y proteger archivos basado en un sistema de privilegios de los usuarios dentro de una organización, posee aproximadamente 2.000 usuarios, según Symantec. Por lo que el hecho de que los piratas informáticos prefirieran sólo unas 100 máquinas en las que instalar su malware sugiere que CarderBee puede haber analizado miles de víctimas potenciales para apuntar concretamente a esos usuarios, ha argumentado Dick O’Brien, analista principal de inteligencia del equipo de investigación de Symantec. Por su parte, Symantec se negó a nombrar a las víctimas objetivo o mencionar si eran en gran medida empresas gubernamentales o del sector privado.
Lo cierto es que Symantec ha mencionado que no puede explicar cómo CarderBee logró corromper la aplicación de la compañía, lo que en muchos ataques a la cadena de suministro de software involucra a piratas informáticos que violan a un distribuidor de software para corromper su proceso de desarrollo.
CarderBee: lastimosamente, no es la primera vez que se utiliza para distribuir malware
Hasta donde se ha podido conocer, el descubrimiento de Symantec no es en realidad la primera vez que “Cobra DocGuard” se usa para distribuir malware. La compañía líder en detección proactiva de amenazas, ESET descubrió que en el mes de septiembre del año pasado, se utilizó una actualización maliciosa de la misma aplicación para violar una empresa de juegos de azar de Hong Kong e instalar una variante del mismo código “Korplug”. Cabe señalar que, ESET descubrió que la empresa de juegos de azar también había sido violada a través del mismo método en 2021.
Desde ESET atribuyeron ese ataque anterior al grupo de piratas informáticos conocido como LuckyMouse, APT27 o Budworm que, se cree tiene su sede en China y que durante más de una década ha estado atacando agencias gubernamentales e industrias relacionadas con el gobierno. Sin embargo, a pesar de las conexiones de Korplug y CobraGuard, Symantec ha manifestado que es demasiado pronto para vincular el ataque más amplio a la cadena de suministro que ha descubierto con el grupo detrás de los incidentes anteriores.
Incluso, se debe saber que para acrecentar el sigilo del ataque, los hackers de CarderBee lograron de alguna forma engañar a Microsoft para que concediera legitimidad adicional a su malware; engañaron a la compañía para que firmara la puerta trasera Korplug con los certificados que Microsoft usa en su programa Windows Hardware Compatibility Publisher para designar código confiable, haciendo parecer mucho más legítimo de lo que es.
No se debe pasar por alto que ese programa habitualmente requiere que un desarrollador se registre en Microsoft como entidad comercial y, así mismo, que envíe su código a Microsoft para su aprobación. Pero los piratas informáticos parecen haber obtenido una firma de Microsoft mediante cuentas de desarrollador que ellos mismos crearon o que obtuvieron de otros desarrolladores registrados. Hasta el momento, Microsoft no ha dado detalles sobre cómo terminó firmando el malware utilizado en el ataque a la cadena de suministro de los piratas informáticos.
