Symantec, propiedad de Broadcom, ha descubierto un ataque de cadena de suministros llevado a cabo por un nuevo grupo de hackers, apodado CarderBee. Expertos en ciberseguridad de Symantec informan que los hackers secuestraron las actualizaciones de un software de seguridad chino llamado Cobra DocGuard para inyectar su propio malware en aproximadamente 100 ordenadores en Asia, principalmente en Hong Kong. Se sospecha que los responsables son hackers chinos con intenciones respaldadas por el estado.
Lo más preocupante es que los hackers obtuvieron una firma digital de confianza de Microsoft para el código malicioso, lo que dificultó su detección. Los expertos de Symantec también indicaron que el software utilizado en los ataques está estrechamente relacionado con otros utilizados por hackers chinos, como Korplug y PlugX, que permiten a los atacantes controlar dispositivos y recopilar datos de las víctimas.
Aunque Cobra DocGuard cuenta con unos 2.000 usuarios, los ciberdelincuentes se centraron en infectar solo a unos 100 equipos. Dick O’Brien, analista principal de inteligencia del equipo de Symantec, dijo que «cualquier ataque a la cadena de suministro siempre es interesante. Pero en términos de sofisticación, esto supera a los demás». Según O’Brien, esto sugiere que CarderBee examinó miles de posibles víctimas antes de seleccionar a estos usuarios.
El software se distribuyó a través de EsafeNet, una empresa propiedad de Nsfocus con sede en China. Symantec no especificó cómo CarderBee logró corromper la aplicación, pero en muchos casos esto implicaría ganar acceso a los procesos de desarrollo de proveedores de software. Hasta ahora, Nsfocus no ha hecho comentarios sobre el asunto. Este incidente subraya los peligros potenciales de los ataques de cadena de suministro, especialmente cuando un software malicioso se distribuye mediante una fuente de confianza.
Este ataque de cadena de suministros y la tormenta de ciberataques recientes demuestran la creciente complejidad de las amenazas cibernéticas. Las empresas deben ser proactivas y protegerse contra tales ataques invirtiendo en una seguridad cibernética sólida y actualizada regularmente.
Vía Wired
