13 dic. 2014

#Sony, Destover, certificados falsos, APTs y... volver a empezar

Quien quiera que sean, los sujetos que atacaron a Sony utilizaron malware de borrado (wiping) para destruir sistemas de Sony, y están liberando lentamente pilas de datos confidenciales y propiedad intelectual robadas de esta empresa. Y sabían todo lo que había que saber acerca de la infraestructura IT de Sony.

Investigadores de seguridad descubrieron que el malware de borrado (llamado Destovermuestra en virustotal– por algunas personas, WIPALL por otras) utilizaba certificados digitales ya revocados y contenía nombres codificados de servidores dentro de la red de Sony y las credenciales para acceder a ellos. Además, los atacantes mismos liberaron a fines de semana pasada un nuevo conjunto de 11,000 archivos que incluyen, como un reportero explicó, "todo lo necesario para manejar las operaciones IT cotidianas de Sony".

Sony ha estado intentando recuperarse de los ataques de borrado desde que se iniciaron, el 24 de noviembre pasado. Las máquinas cliente de los empleados se congelaron y bloquearon detrás de un tapiz de pantalla, ornamentadas con un cráneo rojo, señalando que la firma había sido embargada por los Guardianes de la Paz (GoP, por sus siglas en inglés) porque no había cumplido con sus demandas, advirtiendo que los secretos de la empresa estaban a punto de ser divulgados.

Fieles a su palabra, los atacantes comenzaron a subir datos confidenciales de Sony a Pastebin. Los archivos filtrados contenían datos corporativos y propiedad intelectual. Los archivos incluyen también copias completas de películas que no han sido estrenadas y el guión de un nuevo programa piloto de televisión del creador de Breaking Bad. Se revelaron salarios, evaluaciones de desempeño y verificaciones de antecedentes criminales del personal.

En tanto, el software de eliminación comenzó a destruir todos los sistemas internos de Sony. El FBI liberó una alerta la semana pasada, la cual no mencionaba explícitamente a Sony, pero advertía de un malware de eliminación con "la capacidad de sobrescribir la MBR del sistema anfitrión de la víctima y todos los archivos de datos. La sobrescritura de los archivos de datos hará en extremo difícil y costoso –si no es que imposible– recuperar los datos empleando métodos forenses estándar".

La recuperación de una infracción a datos y una destrucción a gran escala del sistema al mismo tiempo es excepcionalmente compleja. Para colmo, hay algo que complica aún más las cosas: el tesoro de datos filtrados el jueves pasado incluye todo lo que los atacantes necesitarían para comprometer de nuevo a Sony, en la forma que elijan. Entre ellos hay tokens RSA SecurID, mapas de la red global (describiendo a detalle bases de datos y servidores empresariales), credenciales/archivos de acceso para servidores de control de calidad, servidores de montaje, servidores de producción, ruteadores, switches, balanceadores de carga, servidores FTP, cuentas de correo electrónico y aplicaciones de terceros (como UPS, FedEx, McAfee, Google Analytics, iTunes, Sprint y Verizon).

Entonces, ¿cómo se recupera una empresa? ¿Tendrá que quemar todo lo que quede y construir algo totalmente nuevo y diferente?

"Apaguen todo", sugirió Jody Brazil, de FireMon. En su visión, botar la compañía completa no es la solución, pero por ahora, su recomendación es desactivar toda la comunicación externa y el acceso Web (y devolverlos a operación lentamente y con cautela), restableciendo todas las contraseñas, instituyendo controles de cambio, realizando una evaluación masiva de todos los sistemas y aspirando a tener la empresa en operación de forma apropiada en semanas, no en días. "Es un enfoque muy drástico, pero es el indicado", opinó.

El departamento de Relaciones con Medios de Sony no respondió el teléfono ni las solicitudes de comentarios enviadas por e-mail. Están trabajando con la justicia y Mandiant en la investigación. "Están en una situación realmente mala", dijo Jaime Blasco, de AlienVault, que ha examinado el malware de eliminación. Y continuó: "De las muestras que obtuvimos, podemos ver que los atacantes conocían la red interna de Sony, ya que las muestras de malware contienen nombres codificados de servidores dentro de la red de Sony e incluso credenciales (nombres de usuario y passwords) que el malware usa para conectarse con sistemas dentro de la red".

En otras palabras, el malware de borrado fue personalizado para el entorno de Sony después de que los atacantes obtuvieron toda la información detallada acerca de la infraestructura IT de Sony. ¿Cómo obtuvieron esa información? Realizaron un ataque por etapas (comprometiendo la red, fisgoneando, obteniendo credenciales, escalando privilegios, etc.) o alguien de adentro les proporcionó la información.

Blasco no está dispuesto a jugar a las adivinanzas, pero en una entrevista el 25 de noviembre con The Verge, alguien que firmó ser uno de los atacantes de GoP dijo que "Sony no cierra con llave sus puertas, físicamente, de modo que trabajamos con otros empleados con intereses similares para entrar". La fuente dijo también a The Verge: "Deseamos igualdad [sic]. Sony no. Es una batalla cuesta arriba".

Ha habido mucha especulación de que los atacantes tienen su base en Corea del Norte (que son actores del país o hacktivistas) que fueron motivados posiblemente a atacar Sony para protestar por su nueva película The Interview (comedia acerca de dos animadores estadounidenses contratados por la CIA para asesinar al líder norcoreano Kim Jong-un). Incluso hubo reportes que señalaban que Sony confirmaría en cualquier momento que Corea del Norte estaba detrás del ataque. Sin embargo, Sony respondió el miércoles a esos reportes diciendo que "no eran precisos".

Según Blasco, "las muestras de malware encontradas se comunican con direcciones IP en Italia, Singapur, Polonia, Estados Unidos, Tailandia, Bolivia y Chipre (probablemente sistemas hackeados o VPN/proxies que los atacantes emplean para ocultar el origen). También descubrimos que los atacantes utilizaban el idioma coreano en los sistemas que usaron para compilar algunas de las piezas de malware que hemos hallado".

Para Blasco, el uso del coreano en el compilador es "el único indicador técnico" de un ataque perpetrado desde Corea del Norte. "La información puede ser falsificada", agregó.

Con todo, Kaspersky y Symantec dicen que hay otras razones para hacer la conexión con Corea del Norte. Symantec reporta que el malware de eliminación Destover utiliza un servidor de comando y control que fue empleado también por el troyano Volgmer, y comparte técnicas y componentes con Jokra. Asimismo, éste y Volgmer fueron utilizados en ataques contra Corea del Sur.

Fuente: InformationWeek

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!