Duqu 2.0 – Ciberespionaje, Ataques y estrategias de mitigación

Hace un par de días el 10 de Junio de 2015 Kaspersky Lab hizo público un anuncio en su página web en el que reconocía que había sido víctima de un ciberataque perpetrado usando una nueva versión del malware conocido como DUQU, al cual se bautizó como DUQU 2.0 al cual calificaron como “Uno de los actores más hábiles, misteriosos y poderosos en el mundo de los APT”. De acuerdo a Kaspersky Lab este malware tiene características especiales que lo hacen muy difícil de detectar al casi no dejar trazas de su existencia. En su proceso de investigación el laboratorio ha detectado que ellos no han sido las únicas víctimas, y se tiene conocimiento que se utilizó este mismo malware para infectar las instalaciones de tres hoteles en Suiza y Austria donde se estaban llevando a cabo las negociaciones acerca de las capacidades nucleares de Irán. Ambos países estan desarrollando investigaciones al respecto, otros de los objetivos detectados fue los sitios usados para la conmemoración del 70 aniversario de la liberación de los campos de concentración Auschwitz-Birkenau. Kaspersky Lab ha hecho público los resultados de la investigación a través de la página SECURELIST. La empresa cree que el ataque a sus instalaciones estuvo orientado al espionaje para robar información relacionada con las nuevas tecnologías que están desarrollando para enfrentar las amenazas APT y explotaban tres vulnerabilidades de día cero en el sistema operativo Windows de Microsoft, el último de los cuales fue cerrado el 9 de junio de 2015 con la liberación del parche (MS15-061)  – Aquí ya saben cual es mi recomendación ¿Verdad? Si esto le paso a Kaspersky – ¿Que puedo hacer yo? Afortunadamente siempre hay cosas que se pueden hacer para evitar o minimizar la posibilidad de que algo como esto ocurra. Se trata de aplicar estrategias de mitigación de riesgos que si se acompañan con soluciones tecnológicas se pueden hacer más efectivas. Cuatro de esas estrategias pueden ayudar a mitigar hasta el 85% de los riesgos generados por las APT, dichas estrategias son:

  1. Listas blancas de aplicaciones.
  2. Administración de parches de seguridad en las aplicaciones.
  3. Administración de parches de seguridad en los sistemas operativos.
  4. Restringir los privilegios administrativos.

La utilización de las listas blancas para autorizar cuales son las aplicaciones autorizadas para su ejecución es una de las estrategias de seguridad más efectivas que se pueden implementar para proteger cualquier organización de los ataques realizados por cualquier tipo de malware, conocido o desconocido. En esta materia Gartner recomienda que se cree una imagen de disco con la configuración “ideal” requerida por la empresa, de esta forma los administradores tendrán un conocimiento detallado de las aplicaciones autorizadas y no autorizadas en la empresa. Por supuesto que esto representa todo un reto de administración, para lo cual existen varias soluciones tecnológicas en el mercado. La administración y aplicación de parches de seguridad en los entornos empresariales también pueden convertirse en un reto, afortunadamente también existen soluciones tecnológicas que apoyan a los administradores de sistemas. Ya lo he comentado en varias oportunidades, la aplicación de los parches es un proceso altamente crítico para mitigar los riesgos. La cuarta estrategia planteada es la restricción del uso de los privilegios administrativo, con eso se está aplicando el principio del menor privilegio, generalmente los malware buscan ganar este tipo de privilegios para propagarse hasta obtener acceso a la información que estan buscando. Referencias:

  1. http://www.kaspersky.com/about/news/virus/2015/Duqu-is-back
  2. APT: amenaza persistente avanzada
  3. http://www.theguardian.com/technology/2015/jun/11/duqu-20-computer-virus-with-traces-of-israeli-code-was-used-to-hack-iran-talks
  4. http://www.theguardian.com/world/2015/jun/11/switzerland-austria-investigate-iran-talks-computer-spying-claims
  5. https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/
  6. https://technet.microsoft.com/library/security/MS15-061
  7. https://securelist.com/blog/software/69887/how-to-mitigate-85-of-threats-with-only-four-strategies/
Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s