Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Duqu 2.0: la herramienta más sofisticada del ciberespionaje




La APT (Amenaza Persistente Avanzada), del inglés (Advanced Persistent Threat) bautizada como Duqu 2.0, la versión 2.0 del conocido Duqu , el hermanastro de Suxnet. Kaspersky Lab descubre Duqu 2.0 - una plataforma de malware altamente sofisticado explotar hasta tres vulnerabilidades de día cero








Eugene Kaspersky comenta que lo más importante es que ni nuestros productos ni servicios se han comprometido, por lo que nuestros clientes frente a ningún riesgo en absoluto debido a la brecha.

Los atacantes estaban interesadosen aprender acerca de nuestras tecnologías, en particular de nuestro sistema seguro de funcionamiento, Kaspersky Prevención del Fraude, Kaspersky Security Network, solución anti-APT y servicios. Los malos también querían conocer nuestras investigaciones en curso y aprender sobre nuestros métodos de detección y capacidad de análisis. Ya que estamos bien conocidos por luchan con éxito las amenazas sofisticadas que buscaban esta información para tratar de permanecer bajo nuestro radar.

¿Quién está detrás del ataque? ¿Qué nación?

Permítanme decir esto de nuevo: nosotros no atribuimos ataques. Somos expertos en seguridad - el mejor - y no queremos diluir nuestra principal competencia por entrar en la política. Al mismo tiempo, como un partidario comprometido de divulgación responsable que hemos presentamos declaraciones con agencias de la ley en varios países para que empiecen las investigaciones penales. También se informó del 0-day a Microsoft, que a su vez recientemente parcheado ella (no se olvide de instalar la actualización de Windows). Sólo quiero dejar que todos hagan su trabajo y ver el mundo cambie para mejor.

Los gobiernos que atacan a las empresas de seguridad de TI es simplemente indignante. Se supone que debemos estar en el mismo lado que las naciones responsables, compartiendo el objetivo común de un mundo cibernético seguro y protegido. Compartimos nuestros conocimientos para luchar contra la ciberdelincuencia y la ayuda investigaciones sean más eficaces. Hay muchas cosas que hacemos juntos para hacer de este mundo cibernético un lugar mejor. Pero ahora vemos algunos miembros de esta "comunidad" pagar ningún respeto a las leyes, la ética profesional o sentido común.

¿Qué es una APT?


Una amenaza persistente avanzada, también conocida por sus siglas en inglés, APT (por Advanced Persistent Threat), es un conjunto de procesos informáticos sigilosos y continuos, a menudo orquestados por humanos, dirigidos a penetrar la seguridad informática de una entidad específica. Una APT, generalmente, fija sus objetivos en organizaciones o naciones por motivos de negocios o políticos. Los procesos de APT requieren un alto grado de cobertura durante un largo período de tiempo. El proceso avanzado involucra sofisticadas técnicas que utilizan software malicioso para explotar vulnerabilidades en los sistemas. El término ‘persistente’ sugiere que existe un control y monitorización externos para la extracción de datos de un objetivo específico de forma continua


  • Kaspersky Lab descubre Duqu 2.0 - una plataforma de malware altamente sofisticado explotar hasta tres vulnerabilidades de día cero 
  • Infecciones de malware relacionados con los P5 + 1 eventos y lugares de celebración de reuniones de alto nivel entre los líderes mundiales

Precedente Stuxnet


Stuxnet es probablemente el malware más conocida de nuestro tiempo. Su fama se debe a los hechos que como objetivo una instalación industrial muy específica, una planta de enriquecimiento de uranio en Irán, se dirige a la destrucción física de centrifugadoras de uranio, y al parecer, cumplió su misión con éxito. Además de todas estas características, los expertos en seguridad también aprecian su sofisticación técnica y el zero-day exploits que se utiliza.


Symantec ha encontrado evidencia de que Duqu ha sido utilizado en un número de diferentes campañas de ataque contra un pequeño número de objetivos seleccionados. Entre las organizaciones dirigidas eran un operador europeo de telecomunicaciones, un operador de telecomunicaciones del norte de África, y un fabricante de equipos electrónicos del sudeste asiático. Las infecciones también fueron encontrados en las computadoras ubicadas en los EE.UU., Reino Unido, Suecia, India y Hong Kong.

Stuxnet no es un ejemplo único para una altamente sofisticada amenaza específica, pero hay muchas otras piezas de malware de tipo similar, incluyendo Duqu, Llama, Regin, ... Entre ellos, Duqu es particularmente interesante, no sólo porque descubrimos de nuevo en 2011, pero debido a nuestro análisis señaló que - mientras que el objetivo de Duqu es diferente - tiene fuertes similitudes con Stuxnet en términos de arquitectura, código, y los métodos para lograr sigilo. Hoy en día, se cree dentro de la comunidad de seguridad de TI que Duqu fue creado por los mismos atacantes que crearon Stuxnet.


Después de analizar las muestras que hemos recibido, pensamos que los atacantes detrás el malware Duqu están de vuelta y activos. Ellos reutilizar código e ideas de Duqu en el nuevo malware Duqu 2.0, pero al mismo tiempo, también hicieron modificaciones con el fin de hacer que Duqu 2.0 indetectable por los métodos de detección de edad.

En nuestro informe completo, disponible en http://www.crysys.hu/duqu2/duqu2.pdf, señalamos numerosas similitudes que hemos descubierto entre Duqu y Duqu 2.0, incluyendo los siguientes:

  • Rutinas de descifrado de cadena similares relacionadas con las cadenas de productos Anti-Virus
  • Métodos similares, número mágico, error y formato de archivo relacionados con los archivos cifrados con AES por ambas amenazas
  • Modo CBC no estándar AES cifrado mismo utilizado por las amenazas
  • Módulo de registro extremadamente similar con exactamente los mismos números mágicos
  • Código C ++ similar - como la codificación y el estilo de la compilación


En realidad, no es de extrañar que los atacantes reutilizen sus viejas herramientas, puesto que ya han invertido mucho diseño y desarrollo esfuerzo en ellos. Lo que quizás sea más interesante que podían ajustar y optimizar su malware tal que no fue detectada por los mecanismos de defensa del estado de la técnica. En parte, esto es de nuevo debido a la asimetría de la información entre los atacantes y los defensores: los atacantes tenían la posibilidad de leer todos los informes de análisis publicados sobre Duqu, así que sabían lo que los defensores estaban preparados para, mientras que los defensores suelen saber muy poco acerca de los métodos de los atacantes. Esto parece conducir a un juego del gato y el ratón sin fin, donde los atacantes tienen siempre una ventaja. Esto también plantea las preguntas de gran alcance de la cantidad de información a los defensores deben publicar las amenazas recién descubiertas, y si la seguridad por oscuridad no es tal vez este enfoque no deseado después de todo.

Duqu 2.0


A principios de la primavera de 2015 Kaspersky Lab detectó un ciber-intrusión que afectó a varios de sus sistemas internos. A raíz de este hallazgo, la compañía lanzó una investigación intensiva, lo que llevó al descubrimiento de una nueva plataforma de malware de uno de los actores de amenaza más hábiles, misteriosas y poderosas del mundo APT (amenaza persistente avanzada) llamada Duqu.

Kaspersky Lab cree que los atacantes estaban seguros de que era imposible descubrir el ciberataque. El ataque incluye algunas características únicas y anteriores invisibles y casi no dejó rastros. El ataque explota las vulnerabilidades de día cero y después de la elevación de privilegios al administrador del dominio, el malware se propaga en la red a través de MSI (Microsoft Software Installer) los archivos que son comúnmente utilizados por los administradores de sistemas para implementar software en computadoras Windows de forma remota. El ataque cibernético no deja atrás  cualquier archivo de disco o la configuración del sistema de cambio, lo que hace muy difícil la detección. La filosofía y la forma de pensar del grupo "Duqu 2.0" es una generación por delante de todo lo visto en el mundo APT.

Investigadores de Kaspersky Lab descubrieron que la empresa no era el único objetivo de este poderoso ataque. Otras víctimas han sido encontradas en los países occidentales, así como en países de Oriente Medio y Asia. En particular, algunas de las nuevas infecciones 2014-2015 están vinculados a los P5 + 1 eventos y lugares relacionados con las negociaciones con Irán sobre un acuerdo nuclear. El actor amenaza detrás de Duqu parece haber lanzado ataques en los lugares donde las conversaciones de alto nivel tuvieron lugar. Además de los P5 + 1 eventos, el grupo Duqu 2.0 lanzó un ataque similar en relación con el [1] evento 70 aniversario de la liberación de Auschwitz-Birkenau. Estas reuniones asistieron muchos dignatarios y políticos extranjeros.

A principios de 2015, durante una prueba, un prototipo de una solución anti-APT desarrollado por Kaspersky Lab mostró signos de un ataque dirigido complejo en su red corporativa. Tras el ataque fue descubierto se lanzó una investigación interna. Un equipo de investigadores de la empresa, ingenieros y analistas de malware inversa trabajó día y noche para analizar este ataque excepcional. La compañía es la liberación de todos los detalles técnicos sobre Duqu 2.0 través securelist.

Conclusiones preliminares:


Los atacantes parecen haber explotado hasta tres vulnerabilidades de día cero. El último que queda de día cero (CVE-2015-2360) ha sido parcheada por Microsoft el 9 de junio de 2015 (MS15-061) después de que expertos de Kaspersky Lab informaran de ello.

El programa malicioso utiliza un método avanzado para ocultar su presencia en el sistema: el código de Duqu 2.0 sólo existe en la memoria del equipo y trata de eliminar todos los rastros en el disco duro.

El Panorama

"La gente detrás de Duqu son uno de los grupos de APT más hábiles y poderosos y ellos hicieron todo lo posible para tratar de mantenerse por debajo del radar", dijo Costin Raiu, director de investigación y análisis globales de Kaspersky Lab. "Este ataque altamente sofisticado utiliza hasta tres exploits de día cero, que es muy impresionante - los costos deben haber sido muy altos. Para mantenerse oculto, el malware reside sólo en la memoria del núcleo, por lo que las soluciones anti-malware podría tener problemas detectarla. También no se conecta directamente a un servidor de comando y control para recibir instrucciones. En lugar de ello, los atacantes infectar pasarelas de red y servidores de seguridad mediante la instalación de drivers maliciosos ese proxy todo el tráfico de la red interna a los servidores de comando y control de los atacantes ".


Kaspersky Lab quisiera reiterar que estos son sólo los resultados preliminares de la investigación. No hay duda de que este ataque tuvo un mucho más amplio alcance geográfico y muchos más objetivos. Pero a juzgar por lo que la empresa ya sabe, Duqu 2.0 se ha utilizado para atacar a una compleja gama de objetivos en los más altos niveles, con similar variaron intereses geopolíticos. Para mitigar esta amenaza, Kaspersky Lab es la liberación de Indicadores de compromiso y desea ofrecer su ayuda a todas las organizaciones interesadas.

Los procedimientos para la protección de Duqu 2.0 se han añadido a los productos de la compañía. Los productos de Kaspersky Lab detectan esta amenaza como HEUR: Trojan.Win32.Duqu2.gen.

Más detalles sobre el malware Duqu 2.0 e Indicadores de compromiso se pueden encontrar en el informe técnico.


Análisis Técnico

Análisis por Symantec coincide con la actualidad de Kaspersky evaluación que Duqu 2,0 (detectado por Symantec como W32.Duqu.B) es una evolución de la anterior gusano Duqu, que fue utilizado en una serie de ataques de recolección de inteligencia contra una serie de objetivos industriales antes de que fue expuesta en 2011. Aunque sus funciones eran diferentes, el gusano original de Duqu tenía muchas similitudes con el gusano Stuxnet utilizado para sabotear el programa de desarrollo nuclear iraní.


Esta nueva versión de Duqu es sigiloso y reside únicamente en la memoria de la computadora, sin archivos escritos en el disco. Se presenta en dos variantes. La primera es una puerta trasera (backdoor) que parece utilizarse para hacerse un hueco persistente dentro de la entidad dirigida por infección de varios equipos.

La segunda variante es más compleja. Tiene la misma estructura que la primera, pero contiene varios módulos que proporcionan una gama de funcionalidad para el malware, tales como la recopilación de información en el ordenador infectado, recogida de datos, detección de redes, la infección de la red, y la comunicación con-mando y control ( C & C) servidores. Esta variante parece ser desplegada en las computadoras que se consideran objetivos de interés por los atacantes.

Duqu y Duqu 2,0 comparten grandes cantidades de código, además de similitudes en cómo se organiza ese código. El código compartido incluye una serie de funciones auxiliares. Por ejemplo, como se muestra en la Figura 1, hay una función de "gen_random" (como marcado por un ingeniero) que se comparte entre Duqu y Duqu 2.0.



No sólo es que el código gen_random compartida, pero el código que llama a esa función también está organizada de manera casi idéntica. Tales similitudes en cómo se llama código se repite en varios otros lugares a lo largo de Duqu 2.0, incluso en cómo se formatean las direcciones IP de C & C, cómo se generan los mensajes de la red, y cómo se cifran y descifran los archivos.




Fuentes:
http://www.kaspersky.com/about/news/virus/2015/Duqu-is-back
https://blog.kaspersky.com/kaspersky-statement-duqu-attack/
https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/
http://blog.crysys.hu/2015/06/duqu-2-0/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.