McAfee presenta su informe Operación Troya

Los datos forenses indican que, de hecho, Dark Seoul es solamente el último ataque que emergió de un proyecto de desarrollo de malware que se denominó Operación Troya.

Cuando aparecieron los primeros informes sobre el ataque de Dark Seoul a diversos servicios financieros y empresas de comunicación en Corea del Sur después del ataque del 20 de marzo de 2013, la atención se concentró en la funcionalidad de borrado del registro de arranque maestro (MBR). Los computadores infectados por el ataque sufrieron un borrado total de los datos del disco duro. Sin embargo, McAfee Labs, descubrió que el ataque Dark Seoul incluye una gran variedad de tecnologías y tácticas, aparte de la funcionalidad del MBR.
Los datos forenses indican que, de hecho, Dark Seoul es solamente el último ataque que emergió de un proyecto de desarrollo de malware que se denominó Operación Troya. El nombre “Troya” proviene de repetidas citas de la antigua ciudad que aparecen en las cadenas de la ruta de compilación del malware. El principal grupo sospechoso de estos ataques es el Equipo del Ejército Cibernético Neorrománico que emplea numerosos términos romanos en su código. La investigación de McAfee Labs del incidente Dark Seoul descubrió una operación doméstica de espionaje a largo plazo contra blancos en Corea del Sur, que siempre emplean la misma base de código.

Los desarrolladores de software (tanto legítimos como criminales) tienden a dejar huellas dactilares y, a veces, incluso pisadas en el código, que pueden servirle a los investigadores forenses para identificar dónde y cuándo se desarrolló el código. Es muy poco común que los investigadores puedan trazar un producto hasta un desarrollador individual (a menos que este sea extraordinariamente descuidado).

Pero frecuentemente estos artefactos se pueden emplear para determinar el origen y el legado en el desarrollo de un “producto” nuevo. A veces, como es el caso del Equipo del Ejército Cibernético Neorrománico o del Grupo Poesía, los desarrolladores insertan estas huellas a propósito, para establecer la “propiedad” de una amenaza nueva. McAfee Labs emplea sofisticadas técnicas forenses y de análisis de código para identificar los orígenes de las amenazas nuevas, ya que estos análisis frecuentemente arrojan luz sobre cómo mitigar mejor un ataque o predecir el desarrollo futuro de la amenaza.

La historia de la Operación Troya se remonta al año 2010, con la aparición del troyano NSTAR. Desde la aparición de NSTAR, se identificaron siete variantes conocidas (más adelante). A pesar del ciclo relativamente rápido de actualizaciones, las funciones centrales de la Operación Troya realmente no han cambiado mucho. De hecho, las principales diferencias entre NSTAR, Chang/Eagle y HTTP Troy tienen que ver más con la técnica de programación que con las funcionalidades.

Esta investigación de los ciberataques del 20 de marzo de 2013 reveló unas operaciones encubiertas de recopilación de inteligencia en curso. McAfee Labs concluyó que los ataques del 20 de marzo de 2013 no fueron un hecho aislado, ligado exclusivamente a la destrucción de sistemas, sino el último de una serie de ataques que datan de 2010. Estas operaciones permanecieron ocultas durante años y evadieron todas las defensas técnicas de las organizaciones afectadas. Desde el punto de vista técnico, gran parte de este malware es bastante antiguo, con la excepción de Concealment Troy, que se lanzó a principios de 2013.

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.