A principios de este mes, informamos sobre un ataque de phishing que robó $ 23,5 millones del Departamento de Defensa de EE. UU. (DoD). Afortunadamente, el Departamento de Defensa atrapó a los ciberdelincuentes y recuperó el dinero, pero este incidente destaca la necesidad de prácticas sólidas de ciberseguridad en el Departamento de Defensa y entre sus contratistas. El DoD es un objetivo de alto valor con una amplia superficie de ataque debido a su tamaño y complejidad. Un descubrimiento reciente demuestra cómo los ciberataques pueden ser indirectos y provenir de fuentes inesperadas. Un contratista de defensa del gobierno transmitió este descubrimiento a Brian Krebs de KrebsOnSecurity, quien publicó los detalles.
Los empleados y contratistas del Departamento de Defensa, junto con el personal militar, utilizan tarjetas de identificación conocidas como Tarjetas de acceso común (CAC) para acceder a espacios controlados, así como a sistemas informáticos y redes. Los titulares de tarjetas no solo usan estas tarjetas en el sitio. Muchos empleados y contratistas necesitan acceder a su correo electrónico de forma remota, lo que requiere autenticación CAC. Sin embargo, los lectores de tarjetas aprobados no son dispositivos estándar para los titulares de tarjetas. Como resultado, los empleados gubernamentales y los contratistas a menudo recurren a Internet para encontrar lectores de tarjetas compatibles. 
El lector de CAC discutido a continuación (fuente: Amazon) ***NO COMPRE ESTO***
De manera alarmante, un contratista descubrió que uno de esos dispositivos es un vector de malware. El contratista compró un lector de tarjetas de $15 vendido por Saicoo en Amazon. El dispositivo tiene 4.5/5 estrellas y 11,700 calificaciones y aparece en la sección de listado patrocinado en la parte superior de los resultados de búsqueda de Amazon para el lector de tarjetas PIV (Verificación de Identidad Personal) o lector de tarjetas CAC. La lista y las reseñas sugerirían que este lector de CAC en particular es un dispositivo seguro y confiable. Sin embargo, cuando el contratista conectó el dispositivo a su computadora con Windows 10, recibió un mensaje que decía que los controladores del dispositivo no funcionaban correctamente. Windows le aconsejó que encontrara controladores más nuevos en el sitio web del proveedor.
El contratista siguió esta instrucción y encontró controladores para el dispositivo en el sitio web de Saicoos, pero no los instaló de inmediato. En cambio, subió el archivo a Virustotal, que analizó el archivo en busca de malware con 63 herramientas antivirus diferentes. 43 de estas herramientas indicaron que el archivo contenía malware, en concreto el gusano Ramnit. Ramnit se ha utilizado en sofisticados ataques de exfiltración de datos y se propaga incrustándose en unidades extraíbles y archivos que pueden compartirse con otros. Este comportamiento es particularmente alarmante, ya que una unidad USB infectada podría comprometer una red gubernamental con brechas de aire.
Escaneo Virustotal del archivo ZIP que contiene los controladores (fuente: KrebsOnSecurity)
El contratista le dijo a KrebsOnSecurity que la distribución de malware por parte de una empresa que vende lectores CAC parece un riesgo de seguridad nacional potencialmente significativo, considerando que muchos usuarios finales pueden tener niveles elevados de autorización que utilizan tarjetas PIV para un acceso seguro. Es posible que Saicoo haya sido pirateado y esté distribuyendo el malware sin saberlo, pero la empresa no parece dispuesta a reconocer la presencia del malware. El contratista intentó informar a Saicoo por correo electrónico que el archivo ZIP en su sitio web contiene malware, pero la empresa ignoró esta información y simplemente dijo que sus dispositivos más nuevos no requieren controladores adicionales.
KrebsOnSecurity también se puso en contacto con Saicoo por correo electrónico y recibió la siguiente respuesta: Gracias por contactarnos, tomamos nota de su problema. A partir de los detalles que ofreció, es probable que el sistema de defensa de seguridad de su computadora cause el problema, ya que parece que no recolonizó nuestro controlador raramente utilizado y lo detectó como malicioso o como un virus. En realidad, no contiene ningún virus, ya que puede confiar en nosotros, si tiene nuestro lector a mano, simplemente ignórelo y continúe con los pasos de instalación. Cuando se instale el controlador, este mensaje desaparecerá de la vista. No te preocupes. Mientras tanto, nuestro lector no está libre de controladores en Windows 7 o posterior y Mac OS 10.11.1 o posterior desde que actualizamos nuestro chip de controlador. Gracias por su amable consejo y esperamos solucionar su problema lo antes posible.
Para resumir, '¡No te preocupes, instala nuestro malware y la nueva versión que tenemos por venir lo tendrá en firmware!' Um, ¿sí?
A juzgar por estas respuestas, Saicoo no parece interesado en asumir la responsabilidad del malware que se distribuye en su sitio web. Según KrebsOnSecurity, Amazon ha declarado que está investigando esta situación. Sin embargo, incluso si Amazon elimina la lista de dispositivos, aquellos que ya compraron el dispositivo corren el riesgo de descargar malware sin saberlo del sitio web de Saicoos.