Dispositivos USB utilizados para infectar una planta nuclear de Rusia y llevar malware a la Estación Espacial

noviembre 13, 2013 § Deja un comentario

El hecho de que un ordenador que contiene información confidencial no está conectado a la Internet pública no significa que no puede ser infectado con malware. Según Eugene Kaspersky, el fundador del gigante de la seguridad informática Kaspersky Lab, los dispositivos USB pueden ser utilizados con éxito para infectar tales equipos.

En una charla que tuvo lugar la semana pasada en el Club de Prensa de Canberra, Kaspersky destacó dos incidentes de este tipo.

En uno de ellos, los ordenadores de una planta nuclear no identificada de Rusia han sido infectados con el notorio malware Stuxnet vía dispositivos USB. Hasta ahora, se creía que Stuxnet, una amenaza supuestamente desarrollada por los Estados Unidos e Israel, era utilizada sólo contra las instalaciones nucleares iraníes.

La Estación Espacial Internacional está entre los últimos lugares donde esperarías escuchar de una infección con malware. Sin embargo, según Kaspersky, también estuvo infectada con un virus llevado allí por los astronautas rusos en unidades extraíbles.
SC Magazine ofrece el vídeo de la presentación de Eugene Kaspersky en el Club de Prensa de Canberra

Fuente: Softpedia

CIA habría pagado 10 millones de dólares a AT&T por información

noviembre 10, 2013 § Deja un comentario

Según reportes del New York Times, AT&T recibe la jugosa suma de 10 millones dólares al años de la CIA, por proveer a la agencia de información sobre los usuarios. Estos tienen el objetivo de aumentar la seguridad y fortalecer las investigaciones contra terroristas.

La información que la agencia del gobierno recibe incluye metadatos de las llamadas que se hacen desde Estados Unidos a otros países del mundo, lo que significa la duración y fechas de la misma. Cuentan las llamadas. Curiosamente la CIA solicita que el número de teléfono esté enmascarado, aparentemente para no violar las restricciones legales.

Este programa de investigación, según las fuentes oficiales de la revista, funciona aparte de los programas de vigilancia de la NSA. La agencia gubernamental no se ha manifestado al respecto, pero AT&T le dijo a The Verge que ellos, “como todas las empresas de telecomunicaciones, le cobran al gobierno por producir la información entregada”.

The Verge resalta que esta no sería la primera vez que el operador estadounidense colabora con la recolección de información al gobierno. Después de los sucesos del 11 de septiembre el operador ayudó a rastrear las llamadas de todos los usuarios americanos. No conocemos la fecha en la que empezó este programa de vigilancia de la CIA, pero las fuentes del Times sospechan que fue en 2010.

Fuente: enter.co

Las herramientas del espionaje masivo

noviembre 6, 2013 § 1 comentario

Adolfo Hernández Lorente y Enrique Fojón Chamorro, integrantes de de THIBER(The Cybesercurity Think Tank).

Durante el pasado mes de mayo, Edward Snowden, exempleado de la Agencia de Seguridad Nacional (NSA) estadounidense, filtró a Glenn Greenwald, periodista de The Guardian, más de 20.000 documentos sensibles o clasificados que previamente había sustraído de los servidores de la NSA. Esta filtración no solo inquietó al Gobierno estadounidense, sino que también puso en alerta a muchos aliados del país e irritó al resto de la comunidad internacional.

Países como México, Brasil, Francia o Alemania ya han consumado su “hora Snowden”, habiendo pedido formalmente explicaciones a su aliado americano. Los datos publicados por los medios españoles cifran en 60 los millones de comunicaciones potencialmente interceptadas al mes por parte de la NSA en territorio español, sin especificar si son analógicas o digitales y representando éstas menos de un 2% del total mensual nacional.

Pero, ¿están las agencias norteamericanas realizando realmente “escuchas” sistemáticas masivas en el ciberespacio? ¿Disponen de la tecnología necesaria? Estados Unidos cuenta con unas cibercapacidades cuyo orden de magnitud supera con creces las desplegadas en España, y sus agencias cuentan con un presupuesto indiscutiblemente superior, estimándose tan sólo el destinado al polémico programa de escuchas, cercano a 38.000 millones de euros, repartidos entre más de dieciséis entes gubernamentales y agencias.

Contenido completo en fuente original Thiber

Publicado el Boletin 195 de Segu-Info – 27/10/2013

octubre 27, 2013 § Deja un comentario

En este Boletín 195, publicamos una entrevista sobre Ciberguerra, publicada a raíz de nuestra investigación sobre “Ciberseguridad Nacional Argentina”.

Continuamos con la serie de artículos sobre Seguridad en ambientes VMware (I, II) y publicamos un extenso informe sobre las 20 herramientas de análisis forenses que todos debemos conocer.

  1. Seguridad en ambientes VMware (III)
  2. Ciberguerra en Argentina (estado del arte)
  3. Las mejores 20 herramientas de Investigación Forense Digital

A continuación se puede Leer el Boletín 195 o registrarse para recibirlo en su correo electrónico.

Project 2020: la serie de ficción que describe como evolucionará la ciberseguridad en la próxima década

octubre 11, 2013 § Deja un comentario

Project 2020 es una serie web de ciencia ficción gratuita similar a las que se pueden ver en Netflix promovida por Trend Micro, la Europol y la ICSPA(Alianza Internacional para la Protección de la Ciberseguridad). Ofrece una visión de cómo evolucionará la ciberseguridad en la próxima década y tiene como objetivo anticipar el futuro de los delitos informáticos para ayudar a usuarios, empresas y gobiernos a estar más preparados y seguros.

La serie consta de nueve vídeos innovadores y educativos que tratan de reproducir las tres historias contadas en el Libro Blanco Project 2020, las cuales identifican una serie de posibles escenarios que describen la evolución de la delincuencia cibernética en el año 2020:

– En primer lugar, está la historia de Kinuko, una “nativa digital” de segunda generación cuya experiencia con el mundo está filtrada por el contenido virtual que llega a través de sus lentes de contacto, y que tiene tantas identidades en la red que ha externalizado la gestión de las mismas.
– Proyecto 2020 también describe a una Pyme del futuro, un fabricante de robots llamado Xinesys, que tiene que hacer frente a la cada vez mayor sofisticación de los activistas “anti-seguridad” que tratan de socavar su cadena de suministro, y Lakoocha, un proveedor de servicios de contenido que creciente riesgo de padecer ataques a infraestructuras críticas.
– Por último, se describe el gobierno de “South Sylvania”, una emergente nación que utiliza perfiles avanzados de comportamiento para ayudar a los agentes de inteligencia a identificar a los individuos en riesgo de involucrarse en actividades terroristas o criminales.
¿Tiene buena pinta verdad? Visita http://2020.trendmicro.com para ver los vídeos de la serie web. Además, en la sección de Descargas, podrás también bajarte el libro blanco Project 2020.

Fuente: Hack Players

APT Kimsuky: con posibles conexiones con Corea del Norte

octubre 7, 2013 § Deja un comentario

Durante varios meses, hemos estado haciendo un seguimiento de una operación de ciberespionaje contra importantes figuras de Corea del Sur. Hay muchas razones por las que esta campaña se considera extraordinaria en su ejecución y logística. Todo comenzó un día en que encontramos un programa espía poco complejo que se comunicaba con su “dueño” mediante un servidor público de correos electrónicos. Esto es algo que los escritores de virus amateur suelen hacer.

Hay indicaciones de que los ordenadores de los “Seguidores de la unificación coreana” (http://www.unihope.kr/) también están comprometidos. Entre otras organizaciones que también tomamos en cuenta, 11 se encuentran en Corea del Sur y dos en China.

Muchos programas maliciosos de menor importancia participan de esta operación, pero cada uno implementa una única función espía. Encontramos bibliotecas básicas que son las responsables de la comunicación común con el jefe de campaña y módulos adicionales que realizan las siguientes funciones:

  • Registro de las teclas pulsadas
  • Recolección de los listados del directorio
  • Robo de documentos HWP
  • Descarga y ejecución de controles remotos
  • Acceso a distancia

Las pistas que encontramos nos permiten suponer que los ataques se originan en Corea del Norte. Puedes encontrar el informe detallado de la operación en nuestro artículo La Operación ‘Kimsuky’: una APT norcoreana?

Fuente: Viruslist

Campaña de ciberespionaje que usa "cibermercenarios" #IceFog

septiembre 29, 2013 § Deja un comentario

El equipo de investigación de seguridad de Kaspersky Lab publicó el 26 de septiembre un nuevo trabajo de investigación sobre el descubrimiento de “Icefog” [PDF], un pequeño pero muy activo grupo de APT (Amenazas Persistentes Avanzadas) centrado en objetivos de Corea del Sur y Japón, afectando a la producción de empresas occidentales. La operación se inició en 2011 y el aumentó en tamaño y alcance en los últimos años.

“Durante los últimos años hemos visto gran un número de APTs que atacaban cualquier tipo de víctima y sector. En la mayoría de los casos, los atacantes mantienen una presencia en las redes corporativas y gubernamentales durante años y extraen terabytes de información confidencial”, afirma Costin Raiu, Director, Global Research & Analysis Team de Kaspersky Lab. “La naturaleza de los ataques Icefog demuestran una nueva tendencia: han surgido pequeñas bandas que actúan persiguiendo información con intervenciones muy precisas. El ataque suele durar unos pocos días o semanas, y después de haber obtenido lo que buscaban, hacen limpieza y se marchan. En el futuro, creemos que aumentará el número de grupos pequeños, enfocados en APT de alquiler especializados en operaciones de ‘hit-and-run’, una especie de ‘cibermercenarios’.

Principales conclusiones

  • Según los perfiles de los objetivos descubiertos, los ciberdelincuentes parecen tener un interés especial en los siguientes sectores: militar, naval y operaciones marítimas, equipos y desarrollo de software, empresas de investigación, operadores de telecomunicaciones, los operadores de satélites, medios de comunicación y la televisión.
  • Algunas de estas empresas son Lig Nex1 y Selectron Industrial Company del sector defensa; construcción naval como DSME Tech, Hanjin Heavy Industries; operadores de telecomunicaciones como Korea Telecom; y medios de comunicación como Fuji TV y la Japan-China Economic Association.
  • Los atacantes secuestran documentos sensibles, planes de la compañía, credenciales de cuentas de correos electrónicos y contraseñas de acceso a diferentes recursos dentro y fuera de la red de la víctima.
  • Durante la operación, los atacantes han utilizado un conjunto de “Icefog” backddor (también conocido como “Fucobha”). Kaspersky Lab identificó versiones de Icefog tanto para Microsoft Windows como para Mac OS X.
  • En la mayoría de las campañas de APT, las víctimas permanecen infectadas durante meses o incluso años, y los atacantes extraen continuamente datos. Los operadores Icefog están procesando las víctimas una por una – localizan y copian sólo información específica. Una vez que se ha obtenido la información requerida, se van.
  • En casi todos los casos, los operadores Icefog parecen saber muy bien lo que necesitan de las víctimas. Buscan nombres de archivo específicos, que se identifican con rapidez, y se transfieren a la C&C.

El ataque y funcionalidad

Los analistas Kaspersky han “sinkholizado” 13 de los más de 70 dominios utilizados por los atacantes. Esto ha aportado datos concretos sobre el número de víctimas existentes en todo el mundo. Además, los servidores de comando y control Icefog mantienen registros cifrados de las víctimas, junto con las diversas operaciones que se realizan sobre ellos por los operadores. Estos registros a veces pueden ayudar a identificar los objetivos de los ataques y, en algunos casos, a las víctimas. Además de Japón y Corea del Sur, se observaron muchas conexiones del sinkhole con otros países, incluyendo Taiwán, Hong Kong, China, EE.UU., Australia, Canadá, Reino Unido, Italia, Alemania, Austria, Singapur, Bielorrusia y Malasia. En total, Kaspersky Lab observó más de 4.000 IPs únicas infectadas y varios cientos de víctimas (unas pocas docenas de Windows y más de 350 víctimas de Mac OS X).

Basado en la lista de direcciones IP utilizadas para monitorizar y controlar la infraestructura, los expertos de Kaspersky Lab asumen que algunos de los actores de esta operación están centrados en al menos tres países: China, Corea del Sur y Japón.

Fuente: DiarioTI

¿Dónde estoy?

Actualmente estás explorando la categoría ciberguerra en Seguridad Informática.