Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
12 de Junio, 2015    General

Kaspersky reconoce un ataque sobre sus sistemas

Los Laboratorios Kaspersky han publicado un aviso en el que reconocen haber sufrido un ataque dirigido, de igual forma confirman que ninguno de sus productos, servicios o clientes se han visto afectados. Sin embargo, los datos detrás del ataque resultan de lo más interesantes.

Las empresas de seguridad siempre están (estamos) en el punto de mira de los atacantes. Bien por el prestigio que puede dar la publicidad del ataque, la información obtenida, o conocer debilidades de otros posibles objetivos; el ataque a una empresa de seguridad resulta ser un objetivo muy suculento para un atacante.

Esto parece ser lo que le ha ocurrido a Kaspersky, han sufrido un ataque avanzado sobre sus sistemas internos. Según la firma, el ataque es sumamente avanzado y desarrollado, lo que junto con algunas similitudes en el código ha hecho que este ataque, el malware y su plataforma asociada, quede bautizado como Duqu 2.0.

Evidentemente, una de las cosas que Kaspersky quiere dejar, y deja, bien claro, es que ninguno de sus productos se ha visto comprometido, y que sus clientes no se enfrentan a ningún riesgo causado por este ataque.

"Ya hemos comprobado que el código fuente de nuestros productos está intacto. Podemos confirmar que nuestras bases de datos de malware no se han visto afectadas, y que los atacantes no han tenido acceso a los datos de nuestros clientes."

Pero detrás de Duqu 2.0, se esconde "algo realmente grande", según confirman este malware está una generación por delante de todo lo visto hasta ahora, además de utilizar una serie de trucos que hacen que sea muy difícil de detectar y neutralizar.

Las investigaciones de Kasperky han relacionado las nuevas infecciones de este malware con eventos y lugares del P5+1, un grupo de seis potencias mundiales con especial interés en el programa nuclear iraní y las negociaciones sobre un acuerdo nuclear con este país. El P5+1 está formado por los cinco miembros permanentes del Consejo de Seguridad de la ONU, Estados Unidos, Rusia, China, Reino Unido y Francia, además de Alemania. De igual forma, Duqu 2,0 también habría lanzado un ataque similar en relación con el evento del 70 aniversario de la liberación de Auschwitz-Birkenau. Kaspersky ha encontrado víctimas de Duqu 2.0 en diferentes lugares, incluidos los países occidentales, Oriente Medio y Asia.

Lo avanzado del ataque, la cantidad de recursos necesarios para su desarrollo y puesta en marcha, así como los objetivos hacen pensar que, sin duda, detrás de esto se encuentra un país, ¿Cuál? Eso está todavía por descubrir. Y Kaspersky, que confirma que aun investiga más datos sobre el ataque, no adelanta ninguna información al respecto.

Por otra parte hay que agradecer a Kasperky el reconocer el ataque, y comunicarlo de forma adecuada, así como presentar un completo informe sobre el malware y su plataforma digno de estudio.

Algunas similitudes encontradas entre las versiones de Duqu.
En este caso, los mismos números únicos pasados como
parámetros, a la función de logging.
El vector inicial del ataque todavía se desconoce, aunque sospechan que posiblemente haya sido a través de correos de spear-phishing (phishings específicamente dirigidos y construidos para un objetivo concreto). Lo que sí se ha confirmado es el uso de varios exploits 0day para su introducción en los sistemas.

En 2011, el ataque original deDuqu empleaba una vulnerabilidad día cero en Word (CVE-2011-3402), un exploit que permitía a los atacantes saltar al modo kernel desde un documento Word. En 2014 se detectó una técnica muy similar, también con exploit día cero (CVE-2014-4148), contra una importante organización internacional. El servidor C&C (Comando y Control) empleado en este ataque del 2014, así como otros factores, tenían similitudes con Duqu, aunque la muestra de malware empleada era diferente tanto a Duqu, como a Duqu 2.0. Según Kaspersky todo indica que este 0day (CVE-2014-4148), parcheado por Microsoft en noviembre de 2014, fuera el empleado para instalar Duqu 2.0.

Si bien, para el caso del ataque a Kaspersky Lab, el ataque se aprovechó de otro día cero (CVE-2015-2360) sobre el kernel de Windows, parcheada por Microsoft este pasado martes (en el boletín MS15-061) y posiblemente hasta otras dos vulnerabilidades diferentes, actualmente corregidas, pero que también fueron día cero en su momento.

Sin duda, los atacantes cometieron un error al atacar a una firma de seguridad como Kaspersky, ¿qué otros objetivos similares habrán tenido? Al atacar a Kaspersky los atacantes estaban interesados en aprender sobre las tecnologías de seguridad, y los productos antivirus de la firma. Buscaban información para conseguir permanecer más tiempo ocultos sin que los objetivos atacados se percataran de ello. Ese fue su error.

Aparte del análisis técnico delmalware, resulta también interesante y digno de destacar el análisis que el propio Eugene kaspersky realiza sobre los motivos sobre la revelación del ataque.
"En primer lugar, no revelarlo sería como no informar a la policía de un accidente de tráfico con víctimas porque pueda afectar tu historial. Además, conocemos la anatomía de los ataques dirigidos suficientemente bien como para entender que no hay nada de qué avergonzarse en la divulgación de este tipo de ataques, esto le puede pasar a cualquiera. (Recuerda, sólo hay dos tipos de empresas: las que han sido atacadas y los que no saben que han sido atacadas). Al revelar el ataque: (i) enviamos una señal al público y cuestionamos la validez y la moralidad de los ataques que creemos orquestados por un Estado contra el negocio privado en general, y las empresas de seguridad, en particular; (ii) compartimos nuestros conocimientos con otras empresas para ayudarles a proteger sus activos. Si esto daña nuestra ‘reputación’, no nos importa. Nuestra misión es salvar el mundo, y esto no admite concesiones."

Más información:

P5+1 Negotiations with Iran

Kaspersky Lab investiga un ataque hacker a su propio sistema

The Mystery of Duqu 2.0: a sophisticated cyberespionage actor returns

The duqu 2.0
Technical Details

una-al-dia (19/10/2011) Duqu, ¿el nuevo malware descendiente de Stuxnet?

una-al-dia (02/11/2011) Duqu, más información y algunas dudas

una-al-dia (04/11/2011) Microsoft da detalles sobre el 0 day que aprovecha Duqu: Cómo protegerse

una-al-dia (09/06/2015) Microsoft publica ocho boletines de seguridad


Antonio Ropero
Twitter: @aropero
Palabras claves , , , , , ,
publicado por alonsoclaudio a las 16:56 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Julio 2017 Ver mes siguiente
DOLUMAMIJUVISA
1
2345678
9101112131415
16171819202122
23242526272829
3031
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» #Phishing masivo a #BancoFrances, #PagoMisCuentas y #Movistar (110 afectados en 4 horas)
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Vulnerabilidad en Youtube permitió borrar cualquier video
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
1 Comentario: carlos lopez
» Cómo espiar WhatsApp
13 Comentarios: spider hackers, spider hackers, spider hackers, [...] ...
» Analizando el LiveBox 2.1 de Orange
2 Comentarios: Nadie, brahim
» Antenas WiFi de gran potencia. Enlaces a 1.000 Km.
2 Comentarios: julio enoy, julio enoy
» Cómo liberar software – guía para principiantes :)
1 Comentario: seo plugin
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad