Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Los creadores del malware Duqu 2.0 usaron certificados de seguridad robados de Foxconn




La atacantes red interna de la firma de antivirus de Kaspersky Lab se infiltraron además usando un certificado digital válido de la empresa china Foxconn para firmar su malware.  Foxconn es el fabricante de productos electrónicos más grande del mundo y produce, entre otros, productos de Apple, Dell y Cisco.





La semana pasada, Kaspersky Lab ha anunciado que los atacantes habían conseguido introducir el malware en su red interna. Era una nueva variante del malware Duqu muy avanzado llamada Duqu 2.0. Duqu 2,0 se esconde la memoria de los ordenadores infectados. Si la máquina se reinicia y el malware en consecuencia desaparece, la computadora a través de un servidor comprometido, es nuevamente infectado. Para ello, los atacantes utilizan drivers especiales.

Durante estas operaciones, los atacantes instalan estos controladores en los servidores de seguridad, puertas de enlace y otros servidores con acceso directo a la Internet en un lado y el acceso a la empresa en el otro lado. De esta forma, los atacantes lograron alcanzar diversos objetivos, tales como el acceso a la infraestructura interna de Internet.

¿Porque los atacantes usaron certificados de seguridad?


El driver era crucial para el ataque a Kaspersky. Porque la mayoría de la caja de herramientas de Duqu 2.0 se almacenan en la memoria de estos sistemas, cada vez que un sistema infectado se reinicia el malware desaparecería. Con nada en el disco duro para volver a instalarlo, los atacantes corrían el riesgo de perder las máquinas infectadas. Así que para combatir esto, ellos guardaron el controlador firmado en otra máquina en la red. Cada vez que una máquina infectada era reiniciada, el driver podría entonces relanzar una infección en la máquina limpia.


Certificados

Para las versiones de Windows de 64 bits es obligatorio que los drivers estén firmados digitalmente. Los investigadores de Kaspersky Lab, también vieron sorprendidos al ver que uno de los drivers descubiertos había sido firmado por un certificado válido de Foxconn.



Verified:              Signed
Signing date:   20:31 19.02.2015
Publisher:            HON HAI PRECISION INDUSTRY CO. LTD.
Description:        Port Optimizer for Terminal Server
Product:               Microsoft Windows Operating System
Prod version:   6.1.7601
File version:   6.1.7601 built by: WinDDK
MachineType:   64-bit
MD5:     92E724291056A5E30ECA038EE637A23F
SHA1:   478C076749BEF74EAF9BED4AF917AEE228620B23
PESHA1: F8457AFBD6967FFAE71A72AA44BC3C3A134103D8
PE256:  2891059613156734067A1EF52C01731A1BCFB9C50E817F3CA813C19114BFA556
SHA256:  BC4AE56434B45818F57724F4CD19354A13E5964FD097D1933A30E2E31C9BDFA5

Está firmado por “HON HAI PRECISION INDUSTRY CO. LTD.(también conocido como “Foxconn Technology Group”, uno de los mayores fabricantes de productos electrónicos del mundo).

La firma taiwanesa hace hardware para la mayor parte de los principales actores de tecnología, como Apple, Dell, Google y Microsoft, haciendo la fabricación de los iPhones, iPads y PlayStation 4s 

Los principales clientes de Foxconn incluyen o han incluido algunas de las empresas más grandes del mundo como:
  • Acer Inc.
  • Amazon.com
  • Apple Inc.
  • BlackBerry Ltd.
  • Cisco
  • Dell
  • Google
  • Hewlett-Packard
  • Huawei
  • Microsoft
  • Motorola Mobility
  • Nintendo
  • Nokia
  • Sony
  • Toshiba
  • Xiaomi
  • Vizio
Foxconn fabrica varios productos https://en.wikipedia.org/wiki/Foxconn populares incluyendo BlackBerry, iPad, iPhone, Kindle, PlayStation 4, Xbox y Wii U.

El mismo certificado fue  todavía utilizado en febrero de 2013 por el fabricante para los fichajes de varios controladores para portátiles Dell.

El uso de los certificados digitales válidos no es nuevo. Anteriormente esto fue descubierto en Stuxnet y la primera versión de Duqu.

 "El robo de certificados digitales y la firma de malware en el nombre de empresas legítimas es un método probado de atacantes Duqu", dijeron los investigadores de Kaspersky Lab.

 ¿Cómo los atacantes lograron obtener el certificado de Foxconn? Se desconoce. Sin embargo, los atacantes parecen tener una preferencia por los fabricantes de hardware, ya que se utilizaron en Stuxnet y Duqu 1.0 certificados de Realtek y Jmicron.

Lo que también es sorprendente es que los atacantes no usaron el mismo certificado dos veces. Algo que en un primer momento de la versión Duqu fue el caso. "Si este es el caso, esto significa que los atacantes pueden tener certificados digitales alternativos suficientes robados de otros fabricantes que están listos para ser utilizados en el próximo ataque dirigido", dijeron los investigadores.

Además advierten que sería muy preocupante, ya que socava la confianza en certificados digitales. Mientras tanto, sería tanto emisor del certificado Verisign Foxconn sido notificado del certificado en cuestión.

Fuente:
https://securelist.com/blog/research/70641/the-duqu-2-0-persistence-module/

Vía:
http://www.wired.com/2015/06/foxconn-hack-kaspersky-duqu-2/ 

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.