Operación Aurora: analizando el ataque masivo

Como bien anunciaba mi compañero Jorge Mieres en el post sobre Operación Aurora, luego de la realización de un ataque dirigido a grandes organizaciones (por lo cual fue popularizado el incidente), el mismo ahora “ocurre en forma masiva desde distintos sitios a través de Drive-by-Download“. Para más detalles sobre el ataque pueden leer la nota de prensa publicada al finalizar la semana por ESET Latinoamérica.

Desde el blog de ESET en inglés, Pierre-Marc Bureau comparte algunos datos sobre la mencionada masificación de esta amenaza:

Hasta el momento, hemos detectado más de 650 versiones del código del exploit, todos detectados por ESET NOD32 como Trojan.JS/Exploit.CVE-2010-0249. También hemos identificado más de 220 puntos de distribución únicos del exploit, en su mayoría localizados en Asia. Los países  donde hemos visto la mayoría de los ataques son China, Corea y Taiwan.

En un análisis del proceso de infección y el código del ataque, se concluye que un usuario que acceda a un sitio web malicioso con un exploit para esta vulnerabilidad, y que no haya actualizado (instalado el parche) su navegador Internet Explorer, o no posea una solución antivirus con la base de firmas actualizada, terminará infectado con 8 archivos maliciosos distintos.

Como bien indica Bureau, “la evolución del uso del exploit sigue el curso natural de lo que hemos venido observando en los últimos meses“. Vulnerabilidades de este tipo son aprovechadas en una primera etapa para realizar unos pocos ataques  dirigidos (como lo anunciáramos en el informe de tendencias para el 2010). Cuando los detalles del exploit se vuelven públicos, “los desarrolladores de malware lo integran en su código y lo usan para infectar tantos usuarios como sea posible“.

Esta evolución puede observarse para otros códigos maliciosos que explotan vulnerabilidades, como el caso de Conficker. Especialmente la segunda etapa es la más importante para aprender de este tipo de incidentes: los ataques se vuelven masivos luego de la publicación de los detalles.

Aunque los índices de infección no reflejen lo mismo, esta característica debería ser aprovechada por los profesionales responsables de la seguridad en las redes corporativas. Al masificarse los ataques luego de la publicación de las mismas, aquellos que deban gestionar la seguridad en las redes deben estar atentos a cuáles son las vulnerabilidades que se van publicando, y mantener lineamientos proactivos en protección de los sistemas: contar con soluciones antivirus con capacidades de detección proactiva y base de firmas actualizada, y mantener una política de actualización de software para no tener aplicaciones o sistemas operativos vulnerables.

Son muy pocos (prácticamente nulos) los casos en donde se explota masivamente una vulnerabilidad que no sea pública, y esto debe ser aprovechado por las organizaciones para mantener sus redes libres de malware.

Sebastián Bortnik
Analista de Seguridad

Autor , ESET

  • Gerardo

    Dos preguntas se puede disminuir los ataques usando otros navegadores como Firefox, Google Chrome, Opera y Safari. y la otra pregunta no importa la version de ESET Smart Security como la version 3.0 puede detener los ataques al igual que la version 4 o es forzoso cambiarme a la version 4.

    • Hola Gerardo,

      Respecto a tu primer consulta, en el caso particular de este ataque, si utilizas alguno de los navegadores que mencionas no estarás expuesto a la amenaza, ya que explota una vulnerabilidad de Internet Explorer. Sin embargo, como ocurrió con Firefox, a medida que un navegador comienza a ser utilizado por mayor cantidad de usuarios, también existen ataques de este tipo para vulnerabilidades en otros navegadores, distintios a Internet Explorer, especialmente en Firefox. Opera, Safari y Google Chrome no han tenido gran cantidad de ataques, pero recuerda que siempre es recomendable mantenerlos actualizados porque la probabilidad de que aparezca un ataque siempre esta.

      Respecto a tu segunda consulta, sí, todas las versiones de ESET Smart Security detectan este ataque, y sus códigos maliciosos asociados.

      Sebastián

  • Pingback: Amenazas más destacadas de enero según ESET | Blinky-IT()

  • Pingback: ESET Latinoamérica – Laboratorio » Blog Archive » Consecuencias de la Operación Aurora: ¿Google dejará de utilizar Microsoft?()

  • Pingback: Amenazas más destacadas de enero según ESET | Ciberespacio()

Síguenos