miércoles, 10 de junio de 2015

Duqu 2.0: el imperio contraataca


A comienzos de esta primavera los Laboratorios Kaspersky detectaron una intrusión en sus sistemas internos cuando estaban probando un prototipo de tecnología para detectar APT (Advanced Persistent Threats, o amenazas persistentes). Estas APT se desarrollan por no-se-sabe-quien para conseguir un acceso permanente a sistemas y redes de comunicaciones, donde “residen” y hacen su trabajo sin ser detectadas pues NO dejan trazas. En el caso que nos ocupa, esta amenaza “vive” en la memoria del sistema y lo que hace es instalar drivers maliciosos, infectando las puertas de enlace (gateways) y cortafuegos (firewalls) de la red, haciendo que el C&C de los malos (Command and Control server) funcione como proxy. Vamos, que todo el tráfico de la red pasa por ellos.

Y nos surge la pregunta: ¿cómo c### han podido infectar a Kaspersky? Porque la firma es de lo mejorcito en antivirus, pero los “malos” son finos de caray… ¡y han encontrado el punto débil de todo sistema informático!

“… According to Kaspersky Lab, the initial attack against the firm began with the targeting of an employee in one of its smaller offices in the Asia-Pacific region. While the original infection vector is not currently known, it is believed spear-phishing was involved because one of the victims had their mailbox and web browser history wiped to hide traces of the attack.”

“Según los Laboratorios Kaspersky, el ataque inicial contra la empresa comenzó a través de un empleado de una de las oficinas menores en la región Asia-Pacífico. Aunque no se conoce el vector de infección original, se cree que se encuentra relacionado con un “phising” ya que una de las víctimas tenía su buzón de correo y el histórico del navegador borrados para ocultar los rastros del ataque.”

El artículo al completo habla de una nueva versión de Duqu, malware que junto con Stuxnet y otros conforma una familia que dió más de un quebradero de cabeza a los responsables del programa nuclear iraní. Y este Duqu 2.0 es aún más sigiloso y difícil de detectar que el anterior, pero no voy por ahí.

Voy por lo que dicen en los párrafos que he traducido del artículo: “…a través de un empleado de una de las oficinas menores...” Ingeniería social pura y dura.

Para quienes han leído alguno de los libros escritos/inspirados por el gran KevinMitnick  esto suena a ataque “de manual”: comienza a atacar un objetivo que puede parecer insignificante, y que de cara a la meta lo es; pero es fácil de sobrepasar, y esto nos permite avanzar un peldaño en la escalera que nos lleva a nuestra meta. Y una vez estamos en la escalera el acceso a los niveles superiores de información es más fácil, ya que lo estamos haciendo “desde dentro”.

Y la pregunta del millón: ¿qué podemos hacer para evitar esto nosotros, personitas de a pie? Leer. Leer a Kevin Mitnick y su “The art of deception” y a Sun Tzu y su “Arte de la guerra”. Porque esto es una guerra.


Leed, leamos; aprenderemos. Y estaremos un poco más seguros.

Un saludo.

Artículo fuente de inspiración (al César lo que es del César): aquí


No hay comentarios: