Ataques cibernéticos (la guerra ya empezó)

[Yenki]

EEUU e Israel desarrollaron malware para atacar a Irán, el gusano Stuxnet

A principios de mes se supo que los gobiernos estadounidense e israelita crearon el virus Stuxnet, para atacar a Irán.
Los iraníes tienen un programa atómico que no les gusta.
Crearon un gusano para atacar las centrifugadoras nucleares para purificar uranio de los iraníes haciendo que trabajen mal y así retrasar sus programas de desarrollo.

El programa fue iniciado por George W Bush y Obama lo continuó, se llama "Juegos Olímpicos".

El malware accidentalmente escapó de la planta nuclear donde debía actuar, en la refinería iraní de Natanz. Probablemente que en una computadora portátil y de ahí llego a internet en el 2010.

A pesar de que la red de la planta está aislada del exterior los norteamericanos lograron mapearla y tener una idea de su hardware de control, es que parece que había las tarjetas de memoria y computadoras se conectaban a la red privada y pública. Los datos fueron a la hiper-poderosa y discreta NSA.

Una vez que vieron como sabotearlo creen que metieron el software malicioso en la planta usando pendrives, tal vez con un doble agente.


El malware Stuxnet al hacerse público, fue desensamblado por investigadores de seguridad informática.


Fuente: Confirmed: US and Israel created Stuxnet, lost control of it en arstechnica.com.


El artículo de The New York Times que confirmó el tema se titula Obama Order Sped Up Wave of Cyberattacks Against Iran (sólo es visible si le aceptan cookies al sitio web del diario).




La noticia es que los estados hacen malware y ya están llevando adelante una ciberguerrilla.




Hay una descripción bien clara y entendible de lo que hace el gusano Stuxnet y cómo trabaja en español y todo en domadis.com
Puede atacar muchos más procesos industriales que los de enriquecimiento de uranio.


Si todavía no les dio miedo pueden ver este video de 3 minutos y pico cuando se sospechaba de EEUU e Israel pero no había sido confirmado, que explica lo peligroso del malware y como está disponible en la red para que cualquiera que sepa, lo modifique y use.

Tomado de geekapolis.

[Yenki]

El artículo de The New York Times que confirmó el tema se titula Obama Order Sped Up Wave of Cyberattacks Against Iran (sólo es visible si le aceptan cookies al sitio web del diario).

Esta nota para mí es una joya del periodismo.
Es claro, entendible por cualquiera y cuenta hechos dignos de la mejor novela de espías.
Describe con más detalle la infección a la planta. (Es un adelanto de este libro).

Como primero tuvieron que averiguar su estructura, con un código que infiltraron y llaman faro (beacon en inglés), este código debía llamar a casa , a la NSA para informar, eso les llevó meses. Luego crear el gusano, desde Symantec dicen que tiene 50 veces el tamaño de uno norma.
Para probarlo para ello simularon la planta iraní en EEUU empleando centifugadoras similares que obtuvieron de Kaddaffi en el 2003 cuando este dejó su programa nuclear y las entregó.
Por último tuvieron que meterlo en la planta.

Empezaron a sabotear las centrifugadoras en el 2008, los ataques eran diferentes, cambiaban. Durante semanas el código dormía, cuando se activaba, era tan astuto que impedía que indicara que algo fallaba.

Cuando un ingeniero conectó su computadora a una centrifugadora , fue infectada, por error el gusano no detectó que su ambiente había cambiado.
Se empezó a reproducir fuera de la planta por internet.

Traduzco el motivo de esta alianza estadounidense-israelí:

"Esta inusual colaboración estrecha con Israel fue impulsada por dos imperativos. La Unidad 8200 de Israel, parate de su ejército, tiene experiencia técnica que rivaliza con la de la NSA, y los israelíes tienen profunda inteligencia sobre operaciones en Natanz que serían vitales para hacer del ciberataque un éxito. Pero los oficiales norteamericanos tenían otro interés, disuadir a los israelíes de llevar a cabo su propio ataque preventivo contra la plantas nucleares iraníes. Para eso, los israelíes deberían ser convencidos de que la nueva línea de ataque andaba. La única manera de convencerlos, según dijeron muchos oficiales en las entrevistas, era tenerlos profundamente involucrados en cada aspecto del programa".







Esto es especulación mía.
Los isralitas no quieren que Irán tenga armas nucleares, pues creen que serían de sus primeros blancos. ¿Imaginan que pasa con el diminuto Israel si algo nuclear explota en cualquier lado?
Ellos que sí tienen armas nucleares están dispuestos a atacar a Irán, en forma preventiva, (eufemismo para agredo primero sin motivo cierto), para destrozarles el programa nuclear a bombazos.
Los norteamericanos son aliados de Israel.





Conclusión: es un buen momento para instalar ese clásico para el que nunca te hiciste un tiempo...

[Yenki]

Mercado negro de ataques de día cero


Un ataque de día cero es el que aprovecha una vulnerabilidad informática antes de que esta sea conocida públicamente y por el desarrollador del software que la tiene.
Lo de día cero tiene que ver con el hecho de que es previo al primer día que se sepa que existe, incluso antes de que haya un parche que arregle el agujero de seguridad.






En Forbes hallé una nota interesante al respecto. Habla sobre como se venden estos datos en el mercado negro sobre estas vulnerabilidades.

Entrevistaron a un especialista en seguridad informatica de Bangkok que se apoda the Grugq. El tipo cuenta como con un 15 % de comisión vende información de ataques de día cero a agencias gubernamentales.
El intermediario espera ganar un millón de dólares en comisiones este año.

El autor de la nota incluso publica una tabla de precios para ataques de día cero para diferentes programas:




Como Apple tiene más medidas de seguridad sus ataques de día cero valen más.



Traduzco:
¿Quién paga estos precios? Los gobiernos occidentales, y específicamente el estadounidense, dice the Grugq, que es nativo de Sudáfrica. El limita sus ventas a las agencias estadounidenses y europeas, y contratistas, no sólo por razones éticas, sino porque pagan más. "vender una vulnerabilidad a la mafia rusa, garantiza que estará muerta muy rápido, y pagan poca plata!.

Hay firmas como Vupen, Endgame y Netragard que compran y venden exploits, a empresas de defensa como Northrop Grumman y Raytheon.

Llaman exploits, a los programas que aprovechan agujeros de seguridad .

Si quieren leer un poco más la nota se titula Shopping For Zero-Days: A Price List For Hackers' Secret Software Exploits

[Yenki]

Flame: otra ciberarma que usan EEUU e Israel

A fines de mayo desde Kaspersky Labs anunciaron que habían hallado un malware llamado Flame, que estaba rondando desde al menos dos años.

No era moco de pavo. Así describieron su hallazgo:

"La complejidad y funcionalidad del nuevo programa malicioso excede todas las de las ciber amenazas conocidas a la fecha.
...
está diseñado para realizar ciberespionaje. Puede hurtar información valiosa , incluyendo pero no limitada a la pantalla de computadora, información de los sistemas objetivo, archivos guardados, datos de contacto, y hasta conversaciones de audio
...
La naturaleza diversa de la información robada, que puede incluir documentos , imágenes de pantalla, grabaciones de audio e intercepción de tráfico de red, hace de esto uno de los más avanzados y completos conjuntos de ataque jamas descubiertos".

El anuncio de Kaspersky por acá.

Tal como Duqu y Stuxnet basados en el hecho de que sólo computadoras específicas son atacadas, consideran que pertenece a esa categoría de super-ciberarmas.


El malware incluso graba conversaciones de las personas, desde los micrófonos. Y puede capturar imágenes de la pantalla y no sólo al azar, sino cuando corren determinadas aplicaciones.
Manda datos a servidores de control donde hay al menos 20 módulos para ampliar sus funciones.
Las infecciones varían según los módulos que usen, pero en general consideran que el código es 20 veces mayor que el de Stuxnet.
Puede rondar los 20 megabytes.

Para los más geeks armaron una lista de preguntas frecuentes sobre Flame por aquí.


Los blancos en la siguiente imagen:



Luego de ver lo anterior uno se extraña menos cuando desde Arstechnica dicen que el malware es producido por EEUU e Israel.

Según informaron desde The Washington Post, el códido malicioso es producto de la colaboración entre la National Security Agency, la CIA y el ejército de Israel.

En Iran detectaron Flame en ataques cibernéticos a su industria petrolera.

En el diario norteamericano comentaron que incluso puede controlar las cámaras de video de los equipos, y que está diseñado para reproducirse incluso en redes muy vigiladas.
Se disfraza como una actualización de Microsoft.

Según expertos anónimos y luego de ver el código Flame también es parte de la iniciativa Juegos Olímpicos de la que era parte Stuxnet.
Dicen en la nota que los israelitas fueron los que atacaron el Ministerio del Petróleo e instalaciones de esta industria de Irán, y que estos así descubrieron Flame.

Desde Kaspersky Labs creen que Flame y Stuxnet trabajan juntos.


La nota se titula U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts, officials say.


Fuente: las mencionadas y arstechnica.com