El ataque a Bit9 empezó por un SQL Injection

Bit9 ha ofrecido una actualización de su investigación sobre el incidente reciente que permitió atacar su organización y productos antivirus. La investigación todavía está en curso y dicen que compartirán todo lo que conozcan siempre y cuando no pongan en peligro la seguridad o confidencialidad de sus clientes.

Según dicen, el ataque fue parte de una gran campaña para infiltrarse en organizaciones muy selectas de Estados Unidos y un espacio de mercado muy estrecho. Si bien no se revelan los nombres o naturaleza de esas organizaciones, aseguran que el ataque no fue contra empresas de infraestructuras críticas (por ejemplo, empresas de servicios públicos, la banca, la energía), ni contra entidades gubernamentales. Creen que el ataque no fue motivado financieramente, sino para acceder a la información. La motivación y la intención de los atacantes es importante porque ayuda a explicar el limitado alcance del compromiso.

Según su evaluación, pudieron identificar tres clientes que fueron afectados y el compromiso inicial del sistema se produjo en julio de 2012. Confirman que los atacantes entraron a través de una falla de SQL Injection presente en un servidor web y eso les permitió instalar un troyano en la máquina virtual que almacenaba algunos certificados digitales (ya revocados) utilizados para firmar sus herramientas. Lamentablemente esa máquina virtual fue apagada tiempo después y eso no permitió detectar el ataque hasta enero de 2013 cuando la máquina se volvió a encender. Adicionalmente se menciona a ciertas IP registradas en Taiwan y archivos creados en China.

Si se desea conocer más detalles de la metodología utilizada se puede leer el post publicado por la empresa.

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín