Partes del código del Aurora descubierto en 2009, ya existían en China hace mas de 4 años
A pesar de que los primeros ataques Aurora (el malware que comprometió a Google) no fueron descubiertos hasta finales del 2009, algunas partes de su código base estaban presentes en China desde hace casi cuatro años, lo que plantea interrogantes acerca de cuántos otros ataques pudieron haber sido realizados durante ese período de tiempo.
Al respecto de la operacion AURORA, ver https://blog.satinfo.es/?p=2430
Con razón McAfee indicó que esto solo era la punta del iceberg…
Joe Stewart, investigador de SecureWorks en Atlanta, analizó el código base de Aurora con todo lujo de detalles y encontró que varios componentes del malware se escribieron a mediados de 2006, más de tres años antes de que los ataques a Google, Adobe y otras empresas fueran descubiertos. La base de código de Aurora consta de varios módulos separados que realizan diferentes tareas durante los procesos de explotación, instalación y control remoto. Stewart dijo que aunque el malware Aurora no es necesariamente la herramienta de ataque más avanzada, los autores, así como a los atacantes que lo utilizaron, sabían lo que estaban haciendo.
Joe Stewart
“Yo diría que es de complejidad media para los tipos de troyanos de puerta trasera que podemos encontrar en estos días. No cuenta con alguna complejidad técnica asombrosa”, dijo Stewart en una entrevista. “Pero los atacantes hicieron algunas cosas bien. Utilizaron poco código en ataques muy concretos, no fue sólo usar algo fuera de la plataforma, ni empacaron y cifraron los archivos binarios, ya que esto parecería sospechoso. Usar código personalizado fue un movimiento muy inteligente. ”
Stewart también observó de cerca uno de los algoritmos utilizados en el binario del troyano Aurora, conocido como Hydraq, y encontró que el algoritmo de comprobación de redundancia cíclica (CRC) era único en varios aspectos. Después de profundizar y buscar referencias al algoritmo CRC en Google, Stewart notó que cada sitio que citaba el algoritmo estaba en chino. Además, la referencia al código fuente original del algoritmo CRC fue escrito en chino.
“Esa es una fuerte evidencia para mí de que esto se originó en China”, dijo. “Nada es concluyente, pero el algoritmo no es fácil de falsificar, por tanto, alguien en otro país podría haber obtenido fuentes que son únicas de China y luego utilizarlas. Es sólo una posibilidad, pero no parece ser el escenario más probable. Parte del código Aurora fue copiado de otras fuentes, pero no la mayoría. ”
to intrusiones similares en el mismo período tiempo. Pero, como muestra la investigación de Stewart, los atacantes – u otras personas con acceso al mismo código base – pudieron usar el malware para otras operaciones mucho antes de que ocurrieran esos eventos .
Stewart también comentó que acredita que algunas de las empresas comprometidas en esta serie de ataques pudieron haber sido afectadas con otras vulnerabilidades además de la presentada en Internet Explorer (esta última será reparada por Microsoft mediante la emisión de un parche de emergencia este jueves).
“Me sorprende que todavía existan muchas personas corriendo IE 6. Esa es una de las cosas que me lleva a creer que también fueron usadas algunas explotaciones PDF “, dijo. “Podrían ser mucho más eficaces en una amplia variedad de sistemas. Cualquiera que utilice Internet Explorer 6 se podría decir que ignora intencionalmente las actualizaciones.”
Los ataques a Google, Adobe y las otras empresas tienen cierto valor de impacto, pero no debería sorprender, dijo Stewart.
“Vamos a seguir viendo ataques dirigidos y espionaje como este, estoy seguro “, dijo Stewart. “Alguien ha tomado la decisión de que es el camino a seguir, y así será, porque es muy barato y proporciona resultados. Además es evidente que el alcance de los ataques y sus objetivos también se están ampliando “.
Comentario:
Sobre todo recordar que ya no debe utilizarse IE 6, y con los actuales IE 8 y 9, tener instalados los últimos parches, incluidos los de abril, que contenían parche acumulativo para el IE.
saludos
ms, 14-4-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.