Duqu explota una vulnerabilidad Día Cero en Windows

Symantec ha informado que "el método que utiliza Duqu para reproducirse es un documento de Word corrupto enviado por correo electrónico. Una vez que el usuario abre el archivo, el código malicioso se ejecuta e instala un troyano de acceso remoto que da a los atacantes control completo sobre la red".

Atento a que se señala a documentos .doc, del procesador de textos Word, como el vector de infección, es muy recomendable extremar los cuidados en el intercambio de información por correo electrónico en ese formato.

Un grupo de investigadores de seguridad del CrySyS (Cryptography and System Security) de Hungría han descubierto un instalador de Duqu, un malware que apareció hace poco más de una semana y sobre el que la industria discute si tiene el mismo autor que Stuxnet, y aseguran que explota una vulnerabilidad desconocida en el kernel de Windows.

Symantec, cuyos expertos han analizado las muestras enviadas por CrySyS, ha explicado que Duqu infecta los ordenadores a través de un Microsoft Word document (.doc), que explota una vulnerabilidad Día Cero en Windows cuando se abre.

Los documentos falsos se envían por medio de ingeniería social para asegurarse de que usuarios y sobre todo empleados los abran. Microsoft, entre tanto, ha sido avisado de la vulnerabilidad y está trabajando en un parche. Hasta que llegue, los usuarios debería tener cuidado y no abrir documentos de fuentes desconocidas.

Al tratarse de una vulnerabilidad del kernel y haberse descubierto un único instalador, los investigadores no excluyen que existan otros vectores de infección. Además, los investigadores de Symantec han descubierto que Duqu es capaz de infectar a ordenadores que no están conectados a Internet copiándose a sí mismo en carpetas compartidas en una red.

Duqu crea un puente entre los servidores de la red interna y el servidor de comando y control que permite a los atacantes acceder a las infecciones de Duqu en zonas seguras con la ayuda de ordenadores que quedan fuera de esa zona segura y se utilizan como proxies.

Otra cosa que han descubierto es un nuevo servidor de comando y control en Bélgica, el primero identificado de Duqu desde que el original de la India fuera cerrado, lo que demuestra que quien quiera que esté detrás de esta amenaza de seguridad están monitorizando la situación y actuando en consecuencia.

Por último Symantec ha sido capaz de confirmar infecciones en Francia, Holanda, Suiza, Ucrania, India, Irán, Sudán y Vietnam, mientras que otras empresas de seguridad informan de incidentes en Austria, Hungría, Indonesia y Reino Unido. Por Rosalía Arroyo para ITespresso.es.

El tema no es menor, el virus Duqu causa estragos en ordenadores Windows en muchos países. Hasta ocho países han registrado infecciones y otros de Europa y Asia ya están bajo alerta.

Aún todo es materia de investigación, pero se cree que parte del código fuente utilizado en Duqu también fue utilizado en Stuxnet, un arma cibernética que habría afectado equipos informáticos en la planta Nuclear de Bushehr en Iran.

Expertos de Symantec estiman "que los atacantes que se encuentran detrás de Stuxnet pueden o bien haber dado el código a los desarrolladores de Duqu, que este hubiese sido robado o que en realidad se trate de las mismas personas que han construido Duqu". "Creemos que es la última opción", dijo el investigador de Symantec Kevin Haley, en una entrevista para Reuters.

Se confirma que estamos viviendo tiempos peligrosos en materia de seguridad informática.

Nota relacionada:

• Duqu: Status Updates Including Installer with Zero-Day Exploit Found. Symantec, 01/11/2011

Más información sobre seguridad en Cyberwar y Seguridad Informática.

(CC)Creative Commons

Encuentran una potente arma cibernética llamada "Flame"

Visto en: The Flame: Questions and Answers - SECURELIST.com

Una importante novedad en el tema "armas cibernéticas", varias agencias de noticias están informando sobre el "descubrimiento", por parte de la compañía de seguridad en Internet, Karspersky, de un virus, llamado "Flame", que según señalan los expertos en seguridad informática está "diseñado para recopilar información sensible y presente en ordenadores de Irán, Oriente Próximo e incluso Estados Unidos" (ELMUNDO.es).

Según explican en SECURELIST, "Flame es un conjunto de herramientas de ataque sofisticado, que es mucho más compleja de lo que Duqu. Se trata de una puerta trasera, un troyano, y tiene como características de gusano, lo que le permite replicarse en una red local y en medios extraíbles si se le ordena". Se señala desde SECURELIST que "el punto inicial de entrada de la llama no se conoce - se sospecha que se despliega a través de ataques dirigidos, sin embargo, no hemos visto el vector original de cómo se propaga. Tenemos algunas sospechas sobre el posible uso de la vulnerabilidad MS10-033, pero no podemos confirmar esto ahora".

Comparte muchas características con las notorias armas cibernéticas Duqu y Stuxnet, mientras que algunas de sus características son diferentes, la geografía y la cuidadosa elección de los ataques, junto con el uso de vulnerabilidades de software específico parece ponerlo junto a las super-armas "actualmente desplegados en el Medio Este por autores desconocidos".

Los expertos de Karspersky Lab habrían señalado Flame (Worm.Win32.Flame) es el 'software' de espionaje más complejo descubierto hasta la fecha y llevaba operativo al menos cinco años, por lo que ha alertado en el sentido que pueden estar en funcionamiento otras armas similares. Es un virus especializado en 'ciberespionaje', escondido dentro de miles de ordenadores en todo el Medio Oriente durante y se sospecha que forma parte de una sofisticada campaña de guerra cibernética.

Eugene Kaspersky, cofundador de Kaspersky Lab, ha afirmado: "La amenaza de la guerra cibernética ha sido uno de los temas más graves en el área de la seguridad de la información desde hace varios años. Stuxnet y Duqu pertenecían a una sola cadena de ataques, lo que incrementó las preocupaciones relacionadas con la ciberguerra en todo el mundo. El 'malware' Flame parece ser una nueva fase en esta guerra, y es importante entender que este tipo de armas cibernéticas se puede utilizar fácilmente en contra de cualquier país".

Fuentes:

• The Flame: Questions and Answers. Por Aleks, del Kaspersky Lab Expert para SECURELIST.com. 28/05/2012
• Powerful "Flame" cyber weapon found in Middle East. Por Jim Finkle para Reuters. 28/05/2012.
• Descubren Flame, un virus especializado en 'ciberespionaje'. ELMUNDO.ES. 28/05/2012
• Meet ‘Flame’, The Massive Spy Malware Infiltrating Iranian Computers. Por  Kim Zetter para THREAT LEVEL de WIRED. 28/05/2012.

Actualización 29/05/2012

• Preocupa la posibilidad de ciber-ataques a aviones Boeing 787. 29/05/2012.
• ONU advertirá del riesgo del virus informático "Flame". Reuters. 29/05/2012.

Son tiempos peligrosos, no hay dudas. Más información en Cyberwar y Seguridad Informática.

El objetivo del último gran ciberataque fue para destruir información

Nuevas evidencias estudiadas por los expertos apuntan a que lo que se definió como un ransomware sea probablemente un malware conocido como del tipo "wiper", algunos señalaron que es un wiper disfrazado de ransomware. Un malware que tiene antecedentes desde 2012 con los ataques contra las compañías petroleras iraníes.

Imagen de archivo

En su momento, los expertos observaron el registro de los de ordenadores infectados, con este malware, pudiendo encontrar que podría existir un nexo de unión entre los virus Stuxnet y Duqu con el malware Wiper. Tanto Stuxnet como Duqu son considerados armas cibernéticas.

Recordemos que Stuxnet captó la atención mundial en materia de ciberseguridad en septiembre de 2010. El gusano tenía como blancos los sistemas que no estaban vinculados a internet por razones de seguridad. El malware infecta a computadoras con el sistema operativo Windows a través de memorias USB (Pendrives) que portan el código. De hecho los pendrives son un problema.

Un malware tipo wiper fue el utilizado en el ciberataque a Sony Pictures. El ataque ha sido considerado en su momento, en 2014, como uno de los peores sufridos por una empresa. Desde entonces los "Wipers" suponen un nuevo nivel de amenaza para empresas y gobiernos, según las empresas de seguridad informática, y no son detectados por los antivirus convencionales, por lo que se convierten en una amenaza mayor.

El malware tipo Wiper está diseñado a llevar a cabo el borrado de información del ordenador infectado, llegando a borrar decenas de gigabytes en un corto periodo de tiempo y sin que el usuario pueda sospechar lo que está pasando en su equipo. La intención es hacer el mayor daño posible a los equipos infectados, y anula toda posibilidad de restauración.

El ultimo gran ciberataque que desde el lunes afectó a miles de computadoras de empresas, entidades y organizaciones en varios países, incluida Argentina, pone en la lista de posibles victimas a los equipos ligados a redes tipo LAN, con equipos que tienen instaladas versiones "viejas" de Sistemas Operativos Windows. El más atacado es Windows 7.

Amenazas como Regin y Stuxnet ¿nos podrían afectar?

¿Deberías preocuparte por amenazas como Regin?

Desde que se descubrió a Stuxnet varios años atrás, ha habido un desfile de malware dirigido -como Flame, Duqu, Gauss y ahora Regin- que puede haber sido creado o sustentado por estados nacionales. Estas complejas amenazas tienen una gran parte de sus funcionalidades diseñadas para espiar a sus víctimas. Naturalmente, amenazas tan excepcionales y polémicas ganan mucha cobertura en los medios, pero, como una persona o compañía promedio, tú, ¿deberías prepocuparte por este asunto?

Por Lysa Myers para Welivesecurity - ESET

Post relacionados:

• El malware Regin una herramienta de ciberespionaje apuntada a la Unión Europea. 26/11/2014.
• El malware llamado "Regin", o Backdoor.Regin espía con características "invisibles". 24/11/2014.

Interesantes reflexiones sobre el ciberarma The Flame

TheFlame: reflexiones sobre otra "ciberarma" descubierta demasiado tarde.- "TheFlame es la nueva pieza de software descubierta y propuesta como modelo de ciberarma. Tal como ocurrió con Stuxnet y Duqu, TheFlame resulta muy interesante por su sofisticación técnica, a la vez que alimenta la imaginación de muchos sobre las posibilidades de una guerra cibernética. Veamos en qué consiste este malware y qué conclusiones se pueden sacar de su descubrimiento". Por Sergio de los Santos para Hispasec - Una al día.

Otras Notas:

Cyber-attack concerns raised over Boeing 787 chip's 'back door'. The Guardian. 29/05/2012.
ONU advertirá del riesgo del virus informático "Flame". Reuters. 29/05/2012.

Post relacionados:

• Preocupa la posibilidad de ciber-ataques a aviones Boeing 787. 29/05/2012.
• Encuentran una potente arma cibernética llamada "Flame". 28/05/2012

Kaspersky Lab anunció el descubrimiento de “La Máscara” una avanzada operación de ciberespionaje en español

Kaspersky Lab descubre “La Máscara”, avanzada operación de ciberespionaje en español
Publicado por Diario TI.

Los atacantes son de habla hispana y se dirigen a instituciones gubernamentales, compañías de energía, petróleo y gas, así como a otras víctimas de perfil alto.

El equipo de investigación de seguridad de Kaspersky Lab ha anunciado el descubrimiento de “La Máscara” (también conocido como Careto), una nueva y avanzada ciberamenaza de habla hispana. La Máscara destaca por la complejidad del conjunto de herramientas utilizadas por los atacantes, al incluir un programa malicioso extremadamente sofisticado, un rootkit, un bootkit, y versiones de Mac OS X y Linux y, posiblemente, para Android y iOS (iPad / iPhone).

Los objetivos principales han sido instituciones gubernamentales, representantes diplomáticos y embajadas, además de compañías de energía, petróleo y gas, organizaciones de investigación y activistas. Las víctimas de este ataque dirigido se han encontrado en 31 países de todo el mundo – desde el Oriente Medio y Europa a África y las Américas.

Los ciberatacantes tenían como reto principal recopilar datos sensibles de los sistemas infectados,  incluyendo, diversas claves de cifrado, configuraciones VPN, claves SSH (que sirve como medio de identificación de un usuario a un servidor SSH) y archivos RDP (utilizado para abrir automáticamente una conexión a un ordenador reservado).

“Existen varias razones que nos hacen creer que esto podría ser una campaña patrocinada por un Estado. En primer lugar, se ha observado un alto grado de profesionalidad en los procedimientos operativos del grupo que está detrás de este ataque: desde la gestión de la infraestructura, el cierre de la operación, evitando las miradas curiosas a través de las reglas de acceso y la limpieza en lugar de la eliminación de los archivos de registro. Esta combinación sitúa a La Máscara por delante de la APT de Duqu en términos de sofisticación, por lo que es una de las amenazas más avanzadas en este momento”, afirma Costin Raiu, director del Equipo de Investigación y Análisis Global de Kaspersky Lab. “Este nivel de seguridad operacional no es normal en grupos – cibercriminales”.

Los investigadores de Kaspersky Lab detectaron Careto por primera vez el año pasado, cuando observaron intentos de aprovechar una vulnerabilidad en los productos de la compañía. El exploit aportaba al malware la capacidad para evitar la detección. Por supuesto, esta situación generó mucho interés y así es como se inició la investigación.

Para las víctimas, una infección con Careto puede ser desastrosa ya que intercepta todos los canales de comunicación y recoge la información más vital del equipo de la víctima. La detección es extremadamente difícil debido a las capacidades sigilosas del rootkit, de las funcionalidades integradas y los módulos de ciberespionaje adicionales.

Principales conclusiones:

• Los autores parecen ser nativos hispanohablantes, un hecho que se había observado muy raramente en ataques APT.
• La campaña estuvo activa durante al menos cinco años hasta enero de 2014(algunas muestras de Careto se recopilaron en 2007). Durante el curso de las investigaciones de Kaspersky Lab, los servidores de comando y control (C&C ) fueron cerrados.
• Se han contabilizado más de 380 víctimas únicas entre más de 1000  IPs. Las infecciones se han observado en: Argelia, Argentina , Bélgica, Bolivia , Brasil , China, Colombia, Costa Rica, Cuba , Egipto, Francia , Alemania, Gibraltar, Guatemala, Irán , Irak, Libia, Malasia , Marruecos, México, Noruega, Pakistán, Polonia,      Sudáfrica, España, Suiza, Túnez, Turquía, Reino Unido, Estados Unidos y      Venezuela.
• La complejidad y universalidad del conjunto de herramientas utilizadas por los atacantes hace que esta operación de ciberespionaje sea muy especial. Aprovechan exploits de alta gama, una pieza muy sofisticada de software malicioso, un rootkit, un bootkit, versiones de Mac OS X y Linux y posiblemente versiones para Android y para iPad/iPhone (iOS ). La Máscara también utilizó un ataque personalizado contra los productos de Kaspersky Lab.
• Entre los vectores de ataque, al menos se utilizó un exploit de Adobe Flash Player (CVE-2012 – 0773). Fue diseñado para las versiones de Flash Player anteriores a la 10.3 y 11.2. Este exploit fue descubierto originalmente por VUPEN y utilizado en 2012 para escapar de la sandbox de Google Chrome para ganar el concurso Pwn2Own CanSecWest.

Métodos de infección y funcionalidades

Según el informe de análisis de Kaspersky Lab, la campaña de La Máscara se basa en el envío de mensajes de correo electrónico phishing con vínculos a un sitio web malicioso. El sitio web malicioso contiene una serie de exploits diseñados para infectar a los visitantes en función de la configuración del sistema. Después de la infección, el sitio malicioso redirige al usuario a la página web legítima de referencia en el correo electrónico, que puede ser una película de YouTube o un portal de noticias.

Es importante tener en cuenta que el exploit en sitios web no infecta automáticamente a los visitantes. En su lugar, los atacantes reciben los exploits en carpetas específicas en el sitio web, que no están directamente referenciados en ningún lugar, excepto en mensajes de correo electrónico maliciosos. A veces, los atacantes utilizan subdominios en los sitios web para que parezcan más reales. Estos subdominios simulan las secciones de los principales periódicos de España, además de algunos internacionales, por ejemplo, “The Guardian” y “The Washington Post”.

El malware intercepta todos los canales de comunicación y recoge la información más importante del sistema infectado. La detección es extremadamente difícil debido a las capacidades del rootkit sigiloso. Careto es un sistema altamente modular, soporta plugins y archivos de configuración, que le permiten realizar un gran número de funciones. Además de las funcionalidades incorporadas, los operadores de Careto podían cargar módulos adicionales que podrían llevar a cabo cualquier tarea malicioso. / Publicado por Diario TI.-

Notas relacionadas:

• The Mask: la campaña APT más sofisticada del mundo. Kaspersky Lab. 11/02/2014.
• NEW ‘MASK’ APT CAMPAIGN CALLED MOST SOPHISTICATED YET. ThreatPost.com. 10/02/2014.
• Washington Post, Guardian links used to infect The Mask malware victims. ZDNet, 10/02/2014.
• Todo sobre las APTs. Kaspersky Lab. 18/11/2013.

El malware llamado "Regin", o Backdoor.Regin espía con características "invisibles"

Descubren malware para espiar computadores con características "invisibles": Symantec
Por Reuters.

Una avanzada aplicación de software maliciosa que fue utilizada desde el 2008 para espiar a compañías privadas, gobiernos, institutos de investigación y personas de 10 países ha sido descubierta, dijo el domingo el fabricante de antivirus Symantec

Corp en un reporte.

La compañía con sede en Mountain View, California, responsable de los productos antivirus Norton, dijo que su investigación mostraba que un posiblemente "Estado nación" era el desarrollador del malware llamado "Regin", o Backdoor.Regin, pero Symantec no identificó a ningún país ni víctima.

Symantec dijo que el diseño de Regin "lo hace altamente apropiado para operaciones de vigilancia persistentes, de largo plazo contra blancos", y que fue retirado en el 2011, pero reapareció desde el 2013 en adelante.

El malware usa varias características "invisibles" e incluso "cuando su presencia es detectada, es muy difícil determinar qué está haciendo", según Symantec. Dijo que "muchos componentes de Regin siguen sin ser descubiertos y que podrían existir funcionalidades y versiones adicionales".

Casi la mitad de todas las infecciones ocurrieron en direcciones de proveedores de servicios de internet, dijo el reporte.

Agregó que los objetivos eran clientes de compañías, en lugar de las compañías en sí. Cerca de un 28 por ciento de los blancos estaban en el sector de telecomunicaciones, mientras que hubo otras víctimas en firmas de energía, aerolíneas, hotelería e investigación, dijo Symantec.

La compañía describió al malware como uno de cinco etapas, cada una "oculta y cifrada, con la excepción de la primera etapa".

Dijo que "cada etapa individual entrega poca información sobre el paquete completo. Sólo al conseguir las cinco etapas es posible analizar y entender la amenaza".

Regin también usa lo que se llama un enfoque modular que permite cargar características escogidas a la medida de sus objetivos, el mismo método aplicado en otros malware, como Flamer y Weevil (The Mask), dijo la compañía de antivirus.

Algunas de sus características eran similares a las del malware Duqu, descubierto en septiembre del 2011 y relacionado a un gusano computacional llamado Stuxnet, descubierto el año previo.

Symantec dijo que Rusia y Arabia Saudita representaban cerca de la mitad de las infecciones confirmadas del malware Regin y que los otros países eran México, Irlanda, India, Irán, Afganistán, Bélgica, Austria y Pakistán. / Por Reuters. (Reporte de Grant McCool; Editado en Español por Ricardo Figueroa).--