viernes, 5 de agosto de 2011

Una Rata Shady


Hace unos días McAfee publicó un estudio sobre un hackeo persistente contra varias empresas y organizaciones alrededor del mundo (se estiman más de 70). A esta operación de hackeo la bautizó como Shady RAT (Remote Access Tool).

Algunos han criticado la falta de detalles del estudio ya que no especifican todas las organizaciones que fueron afectadas, la cantidad de equipos comprometidos ni exactamente qué datos fueron los que se extrajeron. Asimismo no se señala al “culpable” pero sí se sugiere que bien podría ser un Estado.

Mientras tanto, Symantec se dio a la tarea de explicar el proceso de hackeo que se siguió y que resumo a continuación.

1.- Se envía un correo a personas previamente seleccionadas con un contenido atractivo para que el usuario abra los archivos adjuntos. Se seleccionaron documentos de Office y PDF maliciosos especialmente diseñados para explotar vulnerabilidades. Estos archivos contienen un troyano que se instala en el equipo con software vulnerable.

2.- El troyano contacta a un sitio en Internet cuyo contenido son imágenes (para que pase sin problemas por un firewall). Estas imágenes tienen instrucciones escondidas (usando estaganografía) que el troyano recibe y le dice cómo proceder. Las imágenes fueron de tipo JPG y GIF. Aunque no es inusual, me llama la atención el uso de la esteganografía en imágenes como uno de los pasos de ataque.

3.- El troyano abre una sesión vía red hacia el equipo del atacante con el fin de que se tome control de la máquina víctima y poder así instalar software adicional y bajar/subir archivos entre otras acciones.

El ataque arriba descrito no es algo inusual, ni tampoco el hecho de que existen (vaya que existen) ataques dirigidos específicamente a ciertas organizaciones cuyo fin va más allá del robo de dinero por el uso de banca en línea. Estos ataques se concentran en información valiosa desde el punto de vista del negocio como código fuente (operación Aurora) u otros datos de importancia estratégica. Las víctimas pueden ser empresas y entidades gubernamentales por igual.

Por lo tanto y desde mi punto de vista, pienso que los ataques de Shady RAT son simplemente una muestra más del tipo de ataques que hemos visto recientemente. A menos claro, que se nos presentara más evidencia sobre el impacto que tuvo la operación Shady.

Por cierto, mantener al día el software (sistema operativo y aplicaciones), tener un antivirus, contar con controles de listas blancas y hacer uso de aplicaciones que incorporen por default una sandbox (p ej Chrome) son algunos de los controles que pueden auxiliar si se desean contrarrestar ataques dirigidos o de tipo APT (Advanced Persistent Threat).