Los autores de Duqu 2.0 utilizaron un certificado de Foxconn robado
Investigadores de Kaspersky señalan que, en lugar de utilizar un certificado para múltiples módulos o controladores, los atacantes que hay detrás de Duqu parecen tener acceso a un volumen considerable de certificados robados y los utilizan sólo una vez.
Una semana después del ataque del malware avanzado Duqu 2.0 ya se van conociendo más detalles del mismo. Han sido los propios investigadores de Kaspersky Lab los que han descubierto que los atacantes que están detrás de la amenaza utilizaron certificados digitales robados para intentar burlar sus defensas de seguridad, y que uno de los certificados utilizados en los ataques fue expedido a nombre de Foxconn, la compañía china que fabrica productos para Apple, Blackberry, Dell, y muchas otras empresas.
Al parecer el certificado de Foxconn se utilizo como parte de su técnica para conseguir tráfico malicioso dentro y fuera de las redes comprometidas. Debido a que el malware Duqu 2.0 no presenta un mecanismo persistente típico, los atacantes emplearon una variedad de métodos para garantizar que pudieran acceder a los sistemas según fuera necesario. Una de esas técnicas implica que los atacantes instalan controladores maliciosos en equipos de red, incluyendo firewalls, y luego los utilizan para redirigir el tráfico a un conjunto de puertos específico.
Concretamente, el certificado de Foxconn robado fue utilizado para firmar el controlador malicioso el 19 de febrero, pero los investigadores de Kaspersky no creen que la propia Foxconn se haya visto comprometida.
La investigación ha desvelado asimismo que la forma en que los certificados digitales son utilizados por los autores de Duqu 2.0 es inusual. En lugar de utilizar un certificado para múltiples módulos o controladores, el grupo parece tener acceso a un considerable volumen de certificados robados y utilizan uno sólo una vez. Si esto es cierto, entonces significa que los atacantes podrían tener suficientes certificados digitales robados de otros fabricantes que están listos para ser utilizados durante el próximo ataque dirigido. Esto sería muy alarmante porque socava la confianza en los certificados digitales.
Ver informacion original al respecto en Fuente:
tores-de-duqu-2-0-utilizaron-un-certificado-de-foxconn-robado/
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.