Algunos componentes de Aurora fueron identificados hace 4 años
A pesar de que los primeros ataques Aurora (el malware que comprometió a Google)
no fueron descubiertos hasta finales del año pasado, algunas partes de su código base están presentes en China desde hace casi cuatro años, lo que plantea interrogantes acerca de cuántos otros ataques podrían haber sido utilizados durante ese período de tiempo (ver línea de tiempo).
Joe Stewart, investigador de SecureWorks en Atlanta, analizó el código base de Aurora con lujo de detalles y encontró que varios componentes del malware se escribieron a mediados de 2006, más de tres años antes de que los ataques a Google, Adobe y otras empresas fueran descubiertos. La base de código de Aurora consta de varios módulos separados que realizan diferentes tareas durante los procesos de explotación, instalación y control remoto. Stewart dijo que aunque el malware Aurora no es necesariamente la herramienta de ataque más avanzada, los autores, así como a los atacantes que lo utilizaron, sabían lo que estaban haciendo.
"Yo diría que es de complejidad media para los tipos de troyanos de puerta trasera que podemos encontrar en estos días. No cuenta con alguna complejidad técnica asombrosa", dijo Stewart en una entrevista. "Pero los atacantes hicieron algunas cosas bien. Utilizaron poco código en ataques muy concretos, no fue sólo usar algo fuera de la plataforma, ni empacaron y cifraron los archivos binarios, ya que esto parecería sospechoso. Usar código personalizado fue un movimiento muy inteligente."
Stewart también observó de cerca uno de los algoritmos utilizados en el binario del troyano Aurora, conocido como Hydraq, y encontró que el algoritmo de comprobación de redundancia cíclica (CRC) era único en varios aspectos. Después de profundizar y buscar referencias al algoritmo CRC en Google, Stewart notó que cada sitio que citaba el algoritmo estaba en chino. Además, la referencia al código fuente original del algoritmo CRC fue escrito en chino.
"Esa es una fuerte evidencia para mí de que esto se originó en China", dijo. "Nada es concluyente, pero el algoritmo no es fácil de falsificar, por tanto, alguien en otro país podría haber obtenido fuentes que son únicas de China y luego utilizarlas. Es sólo una posibilidad, pero no parece ser el escenario más probable. Parte del código Aurora fue copiado de otras fuentes, pero no la mayoría."
Funcionarios de Google detectaron por primera vez el ataque Aurora en diciembre, y otras compañías dijeron haber descubierto intrusiones similares en el mismo período tiempo. Pero, como muestra la investigación de Stewart, los atacantes – u otras personas con acceso al mismo código base - pudieron usar el malware para otras operaciones mucho antes de que ocurrieran esos eventos .
Stewart también comentó que acredita que algunas de las empresas comprometidas en esta serie de ataques pudieron haber sido afectadas con otras vulnerabilidades además de la presentada en Internet Explorer (esta última será reparada por Microsoft mediante la emisión de un parche de emergencia este jueves).
"Me sorprende que todavía existan muchas personas corriendo IE 6. Esa es una de las cosas que me lleva a creer que también fueron usadas algunas explotaciones PDF ", dijo. "Podrían ser mucho más eficaces en una amplia variedad de sistemas. Cualquiera que utilice Internet Explorer 6 se podría decir que ignora intencionalmente las actualizaciones."
Los ataques a Google, Adobe y las otras empresas tienen cierto valor de impacto, pero no debería sorprender, dijo Stewart.
"Vamos a seguir viendo ataques dirigidos y espionaje como este, estoy seguro ", dijo Stewart. "Alguien ha tomado la decisión de que es el camino a seguir, y así será, porque es muy barato y proporciona resultados. Además es evidente que el alcance de los ataques y sus objetivos también se están ampliando".
Fuente: ThreatPost y Websense
no fueron descubiertos hasta finales del año pasado, algunas partes de su código base están presentes en China desde hace casi cuatro años, lo que plantea interrogantes acerca de cuántos otros ataques podrían haber sido utilizados durante ese período de tiempo (ver línea de tiempo).
Joe Stewart, investigador de SecureWorks en Atlanta, analizó el código base de Aurora con lujo de detalles y encontró que varios componentes del malware se escribieron a mediados de 2006, más de tres años antes de que los ataques a Google, Adobe y otras empresas fueran descubiertos. La base de código de Aurora consta de varios módulos separados que realizan diferentes tareas durante los procesos de explotación, instalación y control remoto. Stewart dijo que aunque el malware Aurora no es necesariamente la herramienta de ataque más avanzada, los autores, así como a los atacantes que lo utilizaron, sabían lo que estaban haciendo.
"Yo diría que es de complejidad media para los tipos de troyanos de puerta trasera que podemos encontrar en estos días. No cuenta con alguna complejidad técnica asombrosa", dijo Stewart en una entrevista. "Pero los atacantes hicieron algunas cosas bien. Utilizaron poco código en ataques muy concretos, no fue sólo usar algo fuera de la plataforma, ni empacaron y cifraron los archivos binarios, ya que esto parecería sospechoso. Usar código personalizado fue un movimiento muy inteligente."
Stewart también observó de cerca uno de los algoritmos utilizados en el binario del troyano Aurora, conocido como Hydraq, y encontró que el algoritmo de comprobación de redundancia cíclica (CRC) era único en varios aspectos. Después de profundizar y buscar referencias al algoritmo CRC en Google, Stewart notó que cada sitio que citaba el algoritmo estaba en chino. Además, la referencia al código fuente original del algoritmo CRC fue escrito en chino.
"Esa es una fuerte evidencia para mí de que esto se originó en China", dijo. "Nada es concluyente, pero el algoritmo no es fácil de falsificar, por tanto, alguien en otro país podría haber obtenido fuentes que son únicas de China y luego utilizarlas. Es sólo una posibilidad, pero no parece ser el escenario más probable. Parte del código Aurora fue copiado de otras fuentes, pero no la mayoría."
Funcionarios de Google detectaron por primera vez el ataque Aurora en diciembre, y otras compañías dijeron haber descubierto intrusiones similares en el mismo período tiempo. Pero, como muestra la investigación de Stewart, los atacantes – u otras personas con acceso al mismo código base - pudieron usar el malware para otras operaciones mucho antes de que ocurrieran esos eventos .
Stewart también comentó que acredita que algunas de las empresas comprometidas en esta serie de ataques pudieron haber sido afectadas con otras vulnerabilidades además de la presentada en Internet Explorer (esta última será reparada por Microsoft mediante la emisión de un parche de emergencia este jueves).
"Me sorprende que todavía existan muchas personas corriendo IE 6. Esa es una de las cosas que me lleva a creer que también fueron usadas algunas explotaciones PDF ", dijo. "Podrían ser mucho más eficaces en una amplia variedad de sistemas. Cualquiera que utilice Internet Explorer 6 se podría decir que ignora intencionalmente las actualizaciones."
Los ataques a Google, Adobe y las otras empresas tienen cierto valor de impacto, pero no debería sorprender, dijo Stewart.
"Vamos a seguir viendo ataques dirigidos y espionaje como este, estoy seguro ", dijo Stewart. "Alguien ha tomado la decisión de que es el camino a seguir, y así será, porque es muy barato y proporciona resultados. Además es evidente que el alcance de los ataques y sus objetivos también se están ampliando".
Fuente: ThreatPost y Websense
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!