Llegamos a ustedes gracias a:



Noticias

Los ataques contra Google fueron obra de aficionados

[04/03/2010] En contra de la idea general, los recientes ciberataques contra Google y más de otras 30 compañías de alta tecnología fueron llevados a cabo, según la firma de seguridad Damballa, por atacantes relativamente aficionados utilizando herramientas botnet obsoletas.

Damballa, que ofrece una diversidad de servicios de protección frente a botnets, ha publicado un informe basado en lo que la compañía dice ser un análisis detallado de los datos relativos a los ataques, el malware en ellos utilizado y las topologías de comando y control usadas por sus autores.
Según los resultados de este análisis, tales ataques deben clasificarse como sencillamente un ataque botnet más, común, y uno en el que además los que lo perpetraron tenían conocimientos menos sofisticados de lo habitual.
Damballa defiende que el ataque se distingue, no por el uso avanzado de un exploit contra una vulnerabilidad de día cero en Internet Explorer 6, sino por la falta de sofisticación de su diseño y un pedigree que apunta a un aprendizaje rápido de sus autores, que, no obstante no dejaban de ser un equipo amateur.
Los ataques dirigidos por esta red, denominados Operación Aurora, por la botnet utilizada para su lanzamiento, fueron descritos por Google y otras grandes compañías de la industria como particularmente sofisticados, e incluso se llegó a apuntar que habían sido articulados por algún estado (Google señaló a China). Hubo quien llegó a calificarlos de ejemplo clásico de una nueva categoría de amenazas avanzadas y persistentes (APT- Advanced Persistent Threats) a las que se enfrentan muchas empresas.
Sistema de comando y control obsoleto
Sin embargo, según Damballa, los datos reales sobre el ataque sugieren algo diferente. El comando Dynamic DNS (DDNS) y el sistema de control utilizado para dirigir la botnet Aurora, por ejemplo, es definida por la firma como de la vieja escuela y se utiliza raramente en la actualidad por los operadores de botnet profesionales.
Además, las conclusiones de Damballa ponen en duda que los ataques hayan sido contra blancos con una alta precisión. Más bien parece que los primeros aparecieron en julio del 2009 y fueron lanzados desde China. En el momento en que Google detecto el incidente por primera vez, ya habían sido infectados computadoras en al menos otros siete países, y el 12 de enero, cuando la compañía lo dio a conocer, ya estaban afectadas máquinas en 22 países más.
Damballa reconoce que la herramienta malware más comúnmente asociada a la botnet Aurora es un troyano relativamente sofisticado denominado Trojan Hydraq. No obstante, los datos de esta firma revelan que los atacantes implicados utilizaron también otras herramientas, algunas nada avanzadas y basadas en las viejas técnicas de ofuscación y evasión.
CIO, España