+ Responder Tema
Resultados 1 al 4 de 4

Tema: Ciberamenaza avanzada cuyo reto es el ciberespionaje: Flame

  1. 02/06/2012 04:49 #1
    enigma
    enigma está desconectado
    Senior Member
    Fecha de Ingreso
    15 sep, 09
    Mensajes
    2,314

    Ciberamenaza avanzada cuyo reto es el ciberespionaje: Flame

    Kaspersky Lab e ITU descubren una nueva ciberamenaza avanzada cuyo reto es el ciberespionaje: Flame

    Stuxnet y Duqu pertenecen a una única cadena de ataques, pero Flame parece ser una nueva fase en esta guerra. Este tipo de armas cibernéticas se pueden utilizar fácilmente en contra de cualquier país

    Flame puede robar documentos, imágenes, grabaciones de audio e interceptar tráfico de red. Se trata de una de las más avanzadas y completas herramientas de ataque descubiertas

    Sunrise, FL, 28 de mayo de 2012 – Kaspersky Lab anuncia el descubrimiento de un programa malicioso muy sofisticado que está siendo utilizado de forma activa como arma cibernética para atacar distintos organismos en varios países. La complejidad y la funcionalidad del programa malicioso recién descubierto superan a los de todas las amenazas cibernéticas conocidas hasta la fecha.

    El malware ha sido descubierto por los expertos de Kaspersky Lab durante una investigación impulsada por la ITU, la agencia de las Naciones Unidas para la Información y la Comunicación Tecnológica. El programa malicioso, detectado como Worm.Win32.Flame por los productos de seguridad Kaspersky Lab, está diseñado para llevar a cabo ciberespionaje. Puede robar información valiosa, incluyendo contenidos de la pantalla de la computаdora, información sobre los sistemas específicos, archivos almacenados, datos de contacto y conversaciones, incluso de audio.

    La investigación independiente comenzó tras una serie de incidentes con otro, aún desconocido, programa de malware – llamado Wiper - que ha borrado los datos de computаdoras en la región de Asia Occidental. Este programa malicioso está aún por descubrir, pero durante el análisis de estos incidentes los expertos de Kaspersky Lab, en coordinación con la ITU, se encontraron un nuevo tipo de malware, ahora conocido como Flame.

    A pesar de que las características de Flame no son como las de anteriores armas cibernéticas, como Duqu y Stuxnet, la geografía de los ataques, el uso de vulnerabilidades de software específicos y el hecho de que las computаdoras seleccionadas estén en el punto de mira indica que Flame pertenece a la misma categoría de super-ciberarmas.

    Eugene Kaspersky, CEO y co-fundador de Kaspersky Lab, afirma: "La amenaza de la guerra cibernética ha sido uno de los temas más graves en el área de la seguridad de la información desde hace varios años. Stuxnet y Duqu pertenecían a una sola cadena de ataques, lo que incrementó las preocupaciones relacionadas con la ciberguerra en todo el mundo. El malware Flame parece ser una nueva fase en esta guerra, y es importante entender que este tipo de armas cibernéticas se puede utilizar fácilmente en contra de cualquier país. A diferencia de la guerra convencional, los países más desarrollados son en realidad los más vulnerables en este caso".

    El propósito principal de Flame parece ser el ciberespionaje y el robo de información de los equipos infectados. Dicha información es enviada a una red de servidores C&C ubicados en diferentes partes del mundo. La variada naturaleza de la información robada, que puede incluir documentos, imágenes, grabaciones de audio y una intercepción del tráfico de red, lo convierte en uno de las más avanzadas y completas herramientas de ataque que se haya descubierto.

    Alexander Gostev, director de los Expertos en Seguridad en Kaspersky Lab, comentó: “Los descubrimientos preliminares de esta investigación, llevados a cabo a partir de una petición urgente de la ITU confirman que este programa malicioso está completamente dirigido. Uno de los hechos más alarmantes es que la campaña de ciberataque de Flame está actualmente en fase activa, y su operador está vigilando los sistemas infectados, reuniendo información y dirigiéndose a nuevos sistemas para conseguir sus desconocidas metas”.

    Los expertos de Kaspersky Lab están trabajando en el análisis de Flame. Durante los próximos días se revelarán más detalles sobre esta nueva amenaza, según se vayan conociendo. Por el momento, lo que se sabe es que consta de múltiples módulos y que su código ejecutable es 20 veces mayor que el de Stuxnet, lo que significa que el análisis de esta ciberarma requiere un gran equipo de los mejores expertos en seguridad, e ingenieros con amplia experiencia en el campo de la ciberdefensa.

    La ITU usará la red ITU-IMPACT, formada por 142 países y varias empresas, entre ellas Kaspersky Lab, para alertar a los gobiernos y a la comunidad sobre esta ciberamenaza.

    Más información: http://www.securelist.com/en/blog/20...ns_and_Answers


    http://latam.kaspersky.com/sobre-kas...na-nueva-ciber

    http://www.clarin.com/sociedad/Detec...709729117.html
    .
    Responder Con Cita Responder Con Cita
  2. 27/06/2012 01:30 #2
    enigma
    enigma está desconectado
    Senior Member
    Fecha de Ingreso
    15 sep, 09
    Mensajes
    2,314

    Expertos de Kaspersky Lab ofrecen un análisis en profundidad de la Infraestructura C&C de Flame

    GoDaddy, OpenDNS y Kaspersky Lab ha conseguido con éxito tomar el control y destruir la comunicación interna de las bots de la mayoría de los dominios para que no lleguen a su destino

    Sunrise, 4 de junio de 2012-- El 28 de mayo de 2012 Kaspersky Lab anunció el descubrimiento de un software malicioso muy sofisticado, conocido como Flame, que fue usado activamente como ciberarma dirigida a instituciones en varios países. Flame fue descubierto por expertos de Kaspersky Lab durante una investigación impulsada por la Unión Internacional de Telecomunicaciones (ITU, por sus siglas en ingles), y el análisis del programa malicioso reveló que se trata de la amenaza más grande y compleja conocida hasta la fecha.

    Los análisis de este malware de Kaspersky Lab revelaron que actualmente está siendo usada para el ciberespionaje y que infecta los sistemas para robar datos e información sensible. Los datos robados se enviaron a uno de los servidores C&C (Command & Control) de Flame.

    Kaspersky Lab ha estado monitorizando de cerca la infraestructura C&C de Flame y ha publicado hoy una entrada detallada sobre los hallazgos de la investigación en su blog Securelist.

    En colaboración con GoDaddy y OpenDNS, Kaspersky Lab ha conseguido con éxito tomar el control y destruir la comunicación interna de las bots para que no lleguen a su destino (operación de sinkholing) de la mayoría de los dominios maliciosos usados por la infraestructura C&C (Command & Control) del virus Flame. Los siguientes detalles resumen los resultados del análisis:
    • La infraestructura Command&Control de Flame que había estado operando durante años, se desconectó inmediatamente después de que Kaspersky Lab revelara el descubrimiento del malware la semana pasada.
    • Actualmente hay más de 80 dominios utilizados por Flame para servidores C&C y dominios relacionados, que han sido registrados entre 2008 y 2012.
    • Durante los últimos 4 años, los servidores que alojaban la infraestructura C&C de Flame, se movieron entre múltiples localizaciones, incluyendo Hong Kong, Turquía, Alemania Polonia, Malasia, Letonia, Reino Unido y Suiza.
    • Los dominios C&C fueron registrados con una impresionante lista de falsas identidades y con una variedad de registradores desde 2008.
    • Según el sinkhole de Kaspersky Lab, los usuarios infectados se registraron en varias regiones: Oriente Medio, Europa, Norteamérica y Asia-Pacífico.
    • Los atacantes de Flame parecen tener un alto interés en los dibujos de PDF, Office y AutoCAD.
    • Los datos cargados en el C&C de Flame se cifran utilizando algoritmos relativamente sencillos. Los documentos robados se comprimen utilizando código abierto y la compresión Zlib PPDM modificado.
    • Windows 7 64 bit, que anteriormente recomendamos como una buena solución para contrarrestar infecciones con otro malware, parece ser efectivo contra Flame.
    A Kaspersky Lab le gustaría agradecer a William MacArthur y a "GoDaddy Network Abuse Department” por su rápida reacción y apoyo excepcional en esta investigación, así como al "Equipo de Investigación de Seguridad de OpenDNS", que nos ha aportado una ayuda inestimable.

    La semana pasada, Kaspersky Lab contactó con el CERT en varios países para informarles acerca del C&C de Flame, sobre el dominio y direcciones IP de los servidores maliciosos, por lo que a la compañía le gustaría agradecer a todos los que participaron por su apoyo a esta investigación.

    Para acceder al análisis completo de Flame, y a todos los detalles técnicos, por favor visite Securelist: http://www.securelist.com/en/

    http://latam.kaspersky.com/sobre-kas...-an%C3%A1lisis
    Responder Con Cita Responder Con Cita
  3. 27/06/2012 01:36 #3
    enigma
    enigma está desconectado
    Senior Member
    Fecha de Ingreso
    15 sep, 09
    Mensajes
    2,314

    Kaspersky Lab demuestra que los desarrolladores de Stuxnet y Flame están conectados

    Cuando el gusano Stuxnet fue creado (2009), la plataforma de Flame ya existía y el código fuente de al menos un módulo de Flame fue utilizado en Stuxnet

    Kaspersky Lab ha descubierto que un módulo de la primera versión de Stuxnet de comienzos del año 2009, conocido como "Recurso 207", era en realidad un plugin de Flame.

    Sunrise, FL, 11 de junio de 2012    . El descubrimiento del malware Flame en mayo de 2012, tras la investigación llevada a cabo entre la Unión Internacional de Comunicaciones (ITU) y Kaspersky Lab, hizo pública la ciberarma más compleja creada hasta la fecha. A pesar de las similitudes, no existían evidencias que mostraran que Flame hubiera sido desarrollada por el mismo equipo que Stuxnet y Duqu. El enfoque para el desarrollo de Flame y Duqu/Stuxnet fue distinto, por lo que se llegó a la conclusión de que estos proyectos fueron creados por equipos separados. Sin embargo, una profunda investigación llevada a cabo por expertos de Kaspersky Lab, revela que estos equipos cooperaron ​​al menos una vez durante las primeras etapas de desarrollo.

    Principales datos:
    • Kaspersky Lab ha descubierto que un módulo de la primera versión de Stuxnet de comienzos del año 2009, conocido como "Recurso 207", era en realidad un plugin de Flame.
    • Cuando el gusano Stuxnet fue creado (2009), la plataforma de Flame ya existía y se confirma que el código fuente de al menos un módulo de Flame fue utilizada en Stuxnet.
    • Este módulo se utilizaba para propagar el ataque a través de dispositivos USB. El código del mecanismo de infección del USB es idéntico en Flame y Stuxnet.
    • El módulo de Flame en Stuxnet también explota una vulnerabilidad que no se conocía en ese momento y que permitió una escalada de privilegios, probablemente MS09-025.
    • Posteriormente, el módulo plugin de Flame fue retirado de Stuxnet en 2010 y sustituido por varios módulos diferentes que utilizaban otras nuevas vulnerabilidades.
    • A partir de 2010, los dos equipos de desarrollo trabajaron de forma independiente, y parece que la cooperación sólo se producía para el intercambio del know-how sobre las nuevas vulnerabilidades "zero-day".
    Más a fondo:

    Stuxnet fue la primera ciberarma dirigida al sector industrial. El hecho de que comenzara a infectar PCs en todo el mundo condujo a su descubrimiento en junio de 2010, aunque la versión más antigua conocida de este programa malicioso fue creada un año antes. El siguiente ejemplo de ciberarma es Duqu y fue descubierto en septiembre de 2011. A diferencia de Stuxnet, la tarea principal del troyano Duqu era convertirse en puerta trasera del sistema infectado y robar información privada (ciberespionaje).

    Durante el análisis de Duqu, se descubrieron grandes similitudes con Stuxnet, que revelaron que los dos han utilizado la misma plataforma de ataque, conocida como la "Plataforma Tilded". El nombre procede de las preferencias de los desarrolladores de malware para nombres de archivo "~ * d *." - por lo tanto, "Tilde-d". El malware Flame era, a primera vista, completamente diferente. Algunas funciones, como el tamaño del programa malicioso, el uso de lenguaje de programación Lua y su funcionalidad indicaban en un primer momento que Flame no estaba conectado a los creadores de Duqu o Stuxnet. Sin embargo, la nueva investigación ha hecho que se reescriba la historia de Stuxnet para poder demostrar sin lugar a dudas, que el "Tilded" es la plataforma de ataque conectada a la plataforma de Flame.

    Nuevos hallazgos

    La primera versión conocida de Stuxnet contiene un módulo especial conocido como "Recurso 207". En la posterior versión 2010 este módulo Stuxnet fue eliminado por completo. El "Recurso 207" es un archivo DLL cifrado que contiene un archivo ejecutable que, según ha mostrado la investigación de Kaspersky Lab, tiene mucho en común con el código utilizado en Flame. La lista de notables semejanzas incluye los nombres de los objetos que se excluyen mutuamente, el algoritmo usado para descifrar las cadenas y los enfoques similares a los de nombre de archivo.

    Además, la mayoría de las secciones de código parecen ser idénticas o similares entre Stuxnet y los módulos de Flame, lo que nos lleva a la conclusión de que el intercambio entre Flame y los equipos Duqu/Stuxnet se hizo en forma de código fuente (es decir, no en forma binaria). La funcionalidad principal de "Recurso 207" de Stuxnet fue la distribución de la infección de una máquina a otra, utilizando las unidades extraíbles USB y la explotación de vulnerabilidad en el kernel de Windows para obtener privilegios en el sistema. El código que se encarga de la distribución de malware utilizando unidades USB es completamente idéntico al utilizado en Flame.

    Alexander Gostev, Director de Expertos en Seguridad de Kaspersky Lab, comenta: "A pesar de los hechos descubiertos, estamos seguros de que Flame y Tilded son plataformas completamente diferentes, que se utilizan para desarrollar múltiples ciberarmas. Cada uno tiene diferentes arquitecturas, sin embargo, en nuevo análisis revela cómo los equipos de trabajo compartieron el código fuente de al menos un módulo en las primeras etapas de desarrollo. Lo que hemos encontrado es una evidencia muy clara de que Stuxnet / Duqu y Flame son armas cibernéticas conectadas".

    Para más detalles acerca de la investigación de Kaspersky Lab, por favor haga clic aquí: http://www.securelist.com/en/blog/20...e_missing_link. Para acceder a más información sobre el malware Flame, consulte el documento de Preguntas y Respuestas, elaborado por los analistas de seguridad de Kaspersky Lab.

    http://latam.kaspersky.com/sobre-kas...-desarrollador
    Responder Con Cita Responder Con Cita
  4. 27/07/2012 02:54 #4
    enigma
    enigma está desconectado
    Senior Member
    Fecha de Ingreso
    15 sep, 09
    Mensajes
    2,314

    Kaspersky Lab y Seculert descubren “Madi”, una nueva campaña de ciberespionaje en el Medio Oriente

    Sunrise, FL 17 de julio, 2012: Hoy, los investigadores Kaspersky Lab han revelado los resultado de su investigación conjunta con Seculert, una compañía de detección de amenazas avanzadas respecto a “Madi”, una activa campaña de ciberespionaje dirigida a víctimas del Medio Oriente. Descubierta por Seculert, Madi es una campaña de infiltración en redes informáticas que consiste en un troyano malicioso que, mediante esquemas de ingeniería social, se envía a blancos específicos.

    Kaspersky Lab y Seculert han unido esfuerzos para capturar el tráfico de los servidores de administración de Madi con el objetivo de hacer un seguimiento de la campaña. Kaspersky Lab y Securlert han identificado más de 800 víctimas en Irán, Israel y algunos otros países, que se conectaron a los servidores de administración en los pasados 8 meses. Las estadísticas del tráfico capturado revelan que las víctimas son sobre todo hombres de negocios que trabajan en proyectos de infraestructura crítica en Irán e Israel, instituciones financieras israelitas, estudiantes de ingeniería del Medio Oriente y varias agencias gubernamentales.

    Además, el análisis del malware ha permitido identificar una cantidad inusual de documentos religiosos y políticos e imágenes usados para distraer la atención, que fueron copiadas en el momento de la infección inicial.

    "A pesar de que el malware y su infraestructura son muy primitivos, comparados con otros proyectos similares, los creadores de Madi han podido llevar a cabo una vigilancia sostenida de víctimas de alto perfil", ha dicho Nicolas Brulez, Investigador y Jefe de Malware de Kaspersky Lab. "Quizá fue la falta de profesionalismo y el rudimentario enfoque que usaron los responsables para que la operación haya pasado desapercibida y haya logrado evadir la detección".

    "Es curioso que nuestro análisis conjunto haya revelado una gran cantidad de renglones en persa en el malware y las herramientas del servidor de administración, idioma que es poco común en el código malicioso. Sin lugar a duda, los atacantes dominan este idioma”, afirma Aviv Raff, Director de Tecnología de Seculert.

    El troyano Madi permite a los atacantes remotos robar archivos sensitivos en equipos con Windows, hacer un seguimiento de las comunicaciones importantes, como correo electrónico y mensajes instantáneos, grabar audio, registrar pulsación de teclas y hacer capturas de pantallas de las actividades de las víctimas. El análisis de los datos sugiere que se han subido varios gigabytes de datos desde los equipos de las víctimas.

    Entre las aplicaciones y sitios web populares espiados están Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ y Facebook. Tambíen se vigila los sistemas integrados de ERP/CRM, contratos de negocios y sistemas de gestión financiera.

    Los sistemas antivirus de Kaspersky Lab detectan las variantes del malware Madi y sus módulos asociados como Trojan.Win32.Madi.

    Para leer la publicación completa de la investigación realizada por los expertos de Kaspersky Lab visite Securelist. http://www.viruslist.com/sp/

    Para leer la investigación de Seculert sobre la campaña de Madi, visite SeculertBlog.

    http://latam.kaspersky.com/sobre-kas...i%E2%80%9D-una
    Responder Con Cita Responder Con Cita
+ Responder Tema
« Jitsi en vez de Skype si no quiere que espíen sus conversaciones en internet | Cómo proteger nuestro webmail cuando el jefe de la CIA no pudo hacerlo »

Información de Tema

Usuarios Viendo este Tema

Actualmente hay 1 usuarios viendo este tema. (0 miembros y 1 visitantes)

     

Marcadores

Permisos de Publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes

Reglas del Foro