Lecciones aprendidas de un ataque dirigido
El malware normalmente llega a los titulares en forma de espionaje internacional o violaciones a grandes bases de datos de grandes clientes. Esto es comprensible porque un malware al estilo Jason Bourne que puede sabotear una centrifugadora en una planta nuclear hace que sea una gran historia. Sin embargo, los ataques dirigidos se producen en la mayoría de los sectores y en todos los niveles de la cadena de suministro.
Esta investigación se inició sobre la base de un malware detectado por un firewall de nueva generación, que permite identificar archivos que nunca habían sido vistos anteriormente. Una de las muestras, en particular, llamó la atención de los analistas porque tenía un conjunto de características que le permitían realizar espionaje.
La red objetivo en este caso era un productor muy grande de materias primas con sede en Asia, y el malware era obviamente muy nuevo, ya que no estaba en la base de datos de VirusTotal y por lo tanto no se estaba reproduciendo en otros ambientes.
Al investigar su funcionamiento interno, el malware no utilizaba ofuscación, codificaciones extrañas o técnicas anti-análisis que son muy comunes en el malware moderno. Esto es interesante en sí mismo, porque el malware era bastante sofisticado en otros aspectos y los autores aparentemente sabían que no había necesidad de aumentar su tamaño con código adicional que lo pudiera hacer parecer sospechoso.
Esta nueva muestra no sólo tenía la capacidad de buscar, cargar o borrar archivos del sistema objetivo, sino que también tenía un interés especial en comprimir y robar bases de datos, así como la posibilidad de modificar bases de datos DB2.
Además, el malware tenía la capacidad de enumerar distintos dispositivos de hardware y accesos inalámbricos. El malware también incluye una variedad de características tales como grabar audio usando los micrófonos integrados en los ordenadores portátiles y también tomar imágenes del escritorio del usuario. Todo el malware incluye casi 70 características de espionaje que podrían ser gestionadas a través de un centro de C&C.
Es importante volver recordar el objetivo del ataque: un gran productor de materias primas que se encuentra en la raíz de una cadena de suministro internacional a gran escala y que hace negocios con muchas otras empresas multinacionales muy grandes. Si un atacante es capaz de infiltrarse en su red, tendrá "la suerte" de poder visualizar y controlar muchas otras industrias, así como tener una fuente ideal de información para la infiltración de las empresas asociadas.
Esta es la lección clave para los administradores de seguridad: los ataques no se limitan a robar números de tarjetas de crédito y direcciones de correo electrónico. Las relaciones que tiene con sus socios y su cadena de suministro puede ser aún más valiosa para un atacante que un incumplimiento financiero. Mientras que los ataques dirigidos siguen siendo relativamente raros comparados con las botnet y el spam, basta con suponer que un ataque dirigido "no va a pasar" para que sea el principio del fracaso.
Fuente: Security Week
Esta investigación se inició sobre la base de un malware detectado por un firewall de nueva generación, que permite identificar archivos que nunca habían sido vistos anteriormente. Una de las muestras, en particular, llamó la atención de los analistas porque tenía un conjunto de características que le permitían realizar espionaje.
La red objetivo en este caso era un productor muy grande de materias primas con sede en Asia, y el malware era obviamente muy nuevo, ya que no estaba en la base de datos de VirusTotal y por lo tanto no se estaba reproduciendo en otros ambientes.
Al investigar su funcionamiento interno, el malware no utilizaba ofuscación, codificaciones extrañas o técnicas anti-análisis que son muy comunes en el malware moderno. Esto es interesante en sí mismo, porque el malware era bastante sofisticado en otros aspectos y los autores aparentemente sabían que no había necesidad de aumentar su tamaño con código adicional que lo pudiera hacer parecer sospechoso.
Esta nueva muestra no sólo tenía la capacidad de buscar, cargar o borrar archivos del sistema objetivo, sino que también tenía un interés especial en comprimir y robar bases de datos, así como la posibilidad de modificar bases de datos DB2.
Además, el malware tenía la capacidad de enumerar distintos dispositivos de hardware y accesos inalámbricos. El malware también incluye una variedad de características tales como grabar audio usando los micrófonos integrados en los ordenadores portátiles y también tomar imágenes del escritorio del usuario. Todo el malware incluye casi 70 características de espionaje que podrían ser gestionadas a través de un centro de C&C.
Es importante volver recordar el objetivo del ataque: un gran productor de materias primas que se encuentra en la raíz de una cadena de suministro internacional a gran escala y que hace negocios con muchas otras empresas multinacionales muy grandes. Si un atacante es capaz de infiltrarse en su red, tendrá "la suerte" de poder visualizar y controlar muchas otras industrias, así como tener una fuente ideal de información para la infiltración de las empresas asociadas.
Esta es la lección clave para los administradores de seguridad: los ataques no se limitan a robar números de tarjetas de crédito y direcciones de correo electrónico. Las relaciones que tiene con sus socios y su cadena de suministro puede ser aún más valiosa para un atacante que un incumplimiento financiero. Mientras que los ataques dirigidos siguen siendo relativamente raros comparados con las botnet y el spam, basta con suponer que un ataque dirigido "no va a pasar" para que sea el principio del fracaso.
Fuente: Security Week
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!