Aprovechan la tensión nuclear en Irán

Bitdefender ha localizado un nuevo ataque con malware procedente de China que está aprovechando la creciente tensión política creada por el supuesto programa secreto de armas nucleares de Irán, para infectar con malware miles de equipos, posiblemente con la esperanza de infectar al personal militar de EE.UU.

Este ataque dirigido comienza con el envío por correo electrónico de un documento word infectado. El documento, escrito en Inglés, se titula: “Iran´s Oil and Nuclear Situation.doc”, es decir, “Situación nuclear y petrolera de Irán” y busca sacar partido de la curiosidad del usuario que, sin duda, tendrá interés por abrirlo.

El documento contiene un código que intenta cargar un archivo de vídeo en formato Mp4 desde una web. Este archivo MP4 no es el habitual vídeo de YouTube, sino que ha sido diseñado para incluir una cabecera válida por lo que legítimamente puede identificarse como MP4, pero el resto del archivo está lleno de código malicioso diseñado para aprovechar una vulnerabilidad en Flash (CVE-2012-0754), y permitir la ejecución de otro código malicioso incrustado en el word inicial.

La operación se lleva a cabo de manera encubierta: el archivo MP4 que permite el aprovechamiento de la vulnerabilidad se transmite desde la web, lo que dificulta su detección por las soluciones de seguridad. Además, el archivo malicioso contenido en el word (US.EXE) tiene múltiples capas de cifrado para evadir los antivirus.

El malware principal, una vez en el equipo, se almacena en la carpeta temporal y se ejecuta. Se trata de un archivo de 4,63 MB que imita la aplicación JavaUpdater y que procede de China. Dentro del archivo, el código malicioso de sólo 22,5 KB intenta conectarse a un servidor que utiliza servicios de DNS dinámico para cambiar permanentemente su dirección IP y evitar así ser localizado.

Después de que infecte el ordenador, este ejemplar de malware (identificado por BitDefender como Gen: Variant.Graftor.15447) empieza a recibir órdenes de su creador, lo que permite a éste tomar el control del ordenador infectado.

“Esto es claramente un ataque dirigido, que pueden tener como objetivo al personal militar de EE.UU. involucrado en las operaciones militares iraníes. El malware no ha sido enviado mediante una campaña de spam masiva que pudiera afectar a cualquier usuario y tampoco ha aparecido en las direcciones de correo electrónico utilizadas por los fabricantes de antivirus para atraer y atrapar el malware, sino que ha sido dirigido sólo contra unos pocos usuarios”, explica Catalin Cosoi, Chief Security Researcher de Bitdefender, que añade: “Ya hemos visto en los últimos meses varios ataques contra el gobierno de los EE.UU. procedentes de China, incluyendo notorios ataques de phishing masivo contra funcionarios de Estados Unidos y Taiwán”.

Para proteger el PC y los datos contenidos en él, desde Bitdefender se recomienda poner en práctica las siguientes medidas de seguridad:

– Asegúrarse de instalar un antivirus y mantenerlo actualizado.
– Contar con un firewall de garantía ya que este tipo de protección juega un papel muy importante en la lucha contra exploits, ya que los cortafuegos escanean los archivos a medida que se transmiten desde la web a la aplicación vulnerable.

– Es importante que los usuarios mantengan sus aplicaciones críticas actualizadas con las últimas versiones disponibles para evitar así vulnerabilidades en las mismas que puedan ser aprovechadas por los ciberdleincuentes.

“El enfoque de ocultar algunas carpetas o archivos no es nuevo en el mundo de la ciberdelincuencia, pero ocultar todas las carpetas y luego ofrecer una herramienta de la reparación es un ejemplo más de la astucia a la que ha llegado la ingeniería social”, explica Catalin Cosoi, Chief Security Researcher de Bitdefender, que añade: “Es importante que los usuarios analicen sus unidades extraíbles, como memorias USBS o móviles, antes de conectarlos a un ordenador. Igualmente, es aconsejable que no instalen ninguna aplicación que se les ofrece por Internet con mensajes alarmantes y sin que ellos la estuviesen buscando”.

Aunque no precisa contra quién

Ex subdirector de la Agencia Nacional de Seguridad confirma que Estados Unidos ha utilizado ciberarmas contra sus enemigos.

En una entrevista con la agencia Reuters, John Michael McConnell es consultado directamente si EEUU ha utilizado su capacidad de realizar ciberataques, ante lo que éste responde afirmativamente. Luego se le pregunta si el ataque tuvo el efecto deseado, ante lo que McConnell también responde “Sí”.

Mc Connell, ex vicealmirante de la marina estadounidense y actual vicepresidente de la empresa de consultoría Booz Allen Hamilton, no profundizó sus declaraciones, limitándose a señalar que el mayor interés del gobierno es proteger las infraestructuras críticas del país, como asimismo el sector financiero, red eléctrica y transportes, contra ciberataques, evitando además el robo de bienes inmateriales mediante ciberespionaje.

Consultado si Estados Unidos tiene la capacidad de atacar, paralizar y destruir, McConnell también responde afirmativamente.

Aunque actualmente NSA está facultada para operar fuera de las fronteras de Estados Unidos, McConnell considera necesario instaurar una normativa que extienda aún más las facultades de la organización. “Hasta que tengamos un colapso bancario, o que la electricidad desaparezca en medio de una tormenta de nieve durante ocho semanas, o algo parecido, seguiremos hablando sobre el tema, sin que nada ocurra”, comenta McConnell.

En Estados Unidos ya ha sido aprobada una ley que permite a los organismos gubernamentales de seguridad intercambiar información sobre ciberamenazas con empresas privadas. Según observadores, esto generará un endurecimiento de la vigilancia de los ciudadanos.

McConnell dice sentir preocupación debido a que cuando NSA detecta una ciberamenaza contra una empresa estadounidense sólo puede “escribir un informe”. A su juicio, es necesario tener leyes que le permitan intervenir directamente.

McConnell termina señalando que Estados Unidos, Gran Bretaña y Rusia destacan en el ámbito del ciberespionaje. No menciona a China, a pesar que el gobierno estadounidense ha aplicado medidas concretas contra empresas chinas, debido a “preocupaciones del Gobierno de EEUU relacionadas con la seguridad nacional”.