OPERACIÓN AURORA
Se ha estado hablando a nivel
global sobre la llamada “Operación Aurora” (también conocida como Comele o
Hydraq). Este es el nombre de combate que recibió un ataque masivo contra
varias corporaciones entre las que se encuentran Google, Adobe, Juniper, RackSpace y otras 30 que aún no se dieron a
conocer.
El nombre
Operación Aurora fue dado por los investigadores luego de detectar en el código
fuente de uno de los malware involucrados en el ataque, cadenas de caracteres
que se refieren al proyecto como “aurora”. El ataque fue
hecho público por Google durante la segunda semana de enero del año 2010.
Objetivo
son distintos tipos de objetivos segun la informacion encontrada pero hay dos que son las mas cercanas:
son distintos tipos de objetivos segun la informacion encontrada pero hay dos que son las mas cercanas:
El ataque fue motivado
con el ánimo de robar información de propiedad intelectual a grandes compañías.
Que su objetivo principal fue la intención de robar cuentas de Gmail de activista de derechos humanos en China.
Que su objetivo principal fue la intención de robar cuentas de Gmail de activista de derechos humanos en China.
El autor de esta operación
En función de
una serie de análisis realizados sobre el código fuente del malware involucrado
en la operación, se llega a la conclusión que el autor posiblemente es de
origen chino, ya que en el código fuente de algunos de los componentes, se
encuentran referencias del idioma chino simplificado.
Como se difunde
el ataque
Los investigadores llegaron a la conclusión de que el ataque tiene como objeto
una vulnerabilidad 0-Day de Internet Explorer identificado como CVE-2010-0249 y KB979352. Originalmente el ataque utilizó
un exploit diseñado para la versión 6.0 de Internet Explorer,
sin embargo, las versiones 7 y 8 también son vulnerables y actualmente están
siendo aprovechadas por delincuentes informáticos para propagar gran cantidad
de malware y reclutar zombis para botnets.
Los sistemas
operativos que se ven afectados son: Windows 2000 SP4, XP, 2003, Windows Vista
y Windows 2008. En el siguiente enlace de Microsoft se encuentran detalles al
respecto.
Si bien las
empresas afectadas lo están investigando, se presume que el ataque tuvo como
principal blanco de acceso, la propagación del exploit a
través de correos electrónicos, supuestamente emitidos por entidades de
confianza, cuyos destinatarios eran personas con altos cargos dentro de las
compañías (ataque dirigido).
Contramedidas
Aunque la
vulnerabilidad afecta a Internet Explorer 6, 7 y 8, es recomendable actualizar
el navegador a esta última versión, ya que por defecto, Internet Explorer 8 tiene activada la funcionalidad DEP, que
previene la ejecución de datos, necesaria para la infección del sistema.
En el día de la
fecha Microsoft ha lanzado un parche oficial MS10-002 para esta vulnerabilidad que reviste el carácter
de crítico. Se debe actualizar con el mismo todas las versiones de Internet
Explorer y los sistemas operativos desde Windows 2000 hasta el reciente Windows
7.
Conclusión
Por lo general lo
más grave es que este tipo de ataques son muy fáciles de explotar cuando no
tenemos todas las medidas de seguridad adecuadas, ya que con el solo hecho de
acceder a Internet a través de un navegador o abrir un correo electrónico y si
encuentra alguna vulnerabilidad, el atacante podrá acceder a información
confidencial de la organización o del medio donde este entrando.
Para asegurar los activos de cualquier tipo de organización, se
debe tener en cuenta todos los mecanismos de seguridad existentes y que los
mismos deben ser considerados en una política global de seguridad.
Pero aun así la
seguridad es muy primordial aunque no estén actualizados, si hay mayor seguridad
pero también se van atrasando en la tecnología entonces deben de estar al día para poder ser un mecanismo de competencia, por lo cual solamente queda buscar
las mejores medidas de seguridad necesarias para poder prevenir o protegerse en
caso de que tengan un tipo de ataque de estos.
Este tipo de ataques lo vivimos a día con día tales como son los spam, mensajería y todos los anuncios que salen en las paginas web cuyo no lo tenemos muy bien controlado en nuestros equipos o cualquiera que estemos utilizando ahí es donde se propaga todo el virus para la obtención de la información.
Este tipo de ataques lo vivimos a día con día tales como son los spam, mensajería y todos los anuncios que salen en las paginas web cuyo no lo tenemos muy bien controlado en nuestros equipos o cualquiera que estemos utilizando ahí es donde se propaga todo el virus para la obtención de la información.
REFERENCIAS
blog eset
Pero si la recomendación es actualizar el navegador, sería posible ser victima de un 0-day y por lo tanto ser más vulnerable, ¿existe entonces otra forma para prevenir ese tipo de ataques?
ResponderEliminarAlgunas prevenciones así como la actualización también existe lo que es el buffer overflo, lo mismo que algunas empresas de antivirus se están dedicando a prevenir este tipo de ataques.
ResponderEliminar