1 2 3 4 5 6

Grupo PLATINUM utiliza el sistema de parcheo propio de Windows en su contra

Ars Technica 28-Abr-2016

El equipo de defensa contra amenazas avanzadas de Microsoft Windows Defender trabaja para rastrear e identificar grupos de piratas informáticos que perpetran los ataques. La atención se centra en los grupos que son los más selectivos con sus objetivos y que trabajan más para no ser detectados. La compañía escribió de un grupo particular que ha nombrado PLATINUM.

El grupo desconocido ha estado atacando objetivos en el sudeste de Asia desde 2009, siendo Malasia su mayor víctima con poco más de la mitad de los ataques e Indonesia en el segundo lugar. Casi la mitad de los ataques tenían como objetivo las organizaciones gubernamentales de algún tipo, incluidas las agencias de inteligencia y de defensa, y la otra cuarta parte de los ataques fueron dirigidos a los ISP. El objetivo de estos ataques no parece han sido la ganancia financiera inmediata, estos hackers estaban tras los detalles de tarjetas de crédito y datos bancarios, pero en su lugar ampliaban el espionaje económico utilizando la información robada.

Los piratas informáticos han utilizado muchas técnicas en los últimos años, con numerosas vulnerabilidades de día cero siendo explotadas para penetrar en los sistemas de las víctimas y propagarse a través de sus redes. Microsoft tiene un largo reporte que describe estas técnicas.

Una técnica en particular es interesante ya que utiliza las capacidades propias de Windows contra sí mismo. En 2006, Alex Sotirov hizo una presentación en Black Hat de cómo terceros habían ofrecidos algunos parches rápidos para fallas de Windows mientras esperaban las correcciones oficiales de Microsoft. Una descripción más detallada fue dada por Alex Ionescu en SyScan 2013, su plática no era sólo acerca de cómo se llevan a cabo actualizaciones en caliente sino que además describió formas en que los atacantes las podrían utilizar para modificar los sistemas en funcionamiento para inyectar malware sin tener que escribir el malware en disco o inyectar DLL, ambos de los cuales son visibles para el software antimalware y los seres humanos por igual.

El grupo PLATINUM utiliza esta técnica que puede trabajar en contra de Windows Server 2003 Service Pack 1, Windows Server 2008, Windows Server 2008 R2, Windows Vista y Windows 7, en los ataques del mundo real para ocultar mejor sus esfuerzos de análisis. Estas actualizaciones rápidas proporcionadas por el sistema operativo se encontraron en los sistemas de ataque de malware en Malasia a principios de este año.

Fuente: Ars Technica VA

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT