Ciber-espionaje se extiende a Brasil y a Chile

6431736545 ab770cf69a m¡Kaspersky en el Café!Kaspersky Lab ha identificado la operación de ciber-espionaje: Octubre Rojo que se extiende ya a Latinoamerica, principalmente en Chile y a Brasil” dijo hoy a la 9 am EN VIVO nuestro invitado el Sr. Dmitry Bestuzhev, Head of Global Research and Analysis Team, Latin America de Kaspersky Lab , desde Quito, Ecuador, en eXpectativa por con-cafe y Chevere 91.9 FM, para hablarnos de operación de ciber-espionaje: Octubre Rojo en eXclusiva para #ConCafeRADIO por Chevere 91.9 FM, y Con-Cafe.

Hora en Caracas


Nsslabs certifica que el único que detecta todo es Kaspersky

Nsslabs hizo un estudio que certifica que el único que detecta este tipo de malware es Kaspersky ” dijo nuestro invitado el Sr. Dmitry Bestuzhev, Head of Global Research and Analysis Team, Latin America de Kaspersky Lab . Puede leer el informe acá: Nsslabs informa sobre funcionamiento de detección de virus en java.

Esta es la nota oficial de prensa:

Kaspersky Lab identifica la operación “Octubre Rojo”, una avanzada campaña de espionaje cibernético dirigida a instituciones diplomáticas y gubernamentales en todo el mundo

* Los atacantes han creado un malware de características y flexibilidad únicas para robar datos de inteligencia geopolítica en las computadoras, teléfonos celulares y equipos de red corporativos de las víctimas

MOSCÚ, 14 de enero de 2013

Lea la investigación completa acerca de Octubre Rojo realizada por los expertos de Kaspersky Lab

Vea la infografía mapa de victimas de Octubre Rojo

Kaspersky Lab publicó hoy un nuevo informe de investigación que identifica una escurridiza campaña de espionaje cibernético que ha tenido como blanco organizaciones diplomáticas, gubernamentales y de investigación científica en varios países durante por lo menos cinco años. La campaña afecta sobre todo a países en Europa Oriental, las repúblicas de la ex URSS y países de Asia Central, pero también se pueden encontrar víctimas en todas partes, incluyendo Europa Occidental al igual que Norte y Sur América. El principal objetivo de los atacantes es recopilar documentos sensitivos de las organizaciones afectadas, incluyendo información de inteligencia geopolítica, credenciales para ingresar en sistemas informáticos secretos y datos de dispositivos móviles y equipos de red.

En octubre de 2012 el equipo de expertos de Kaspersky Lab inició una investigación de una serie de ataques realizados contra redes informáticas de agencias diplomáticas internacionales. Durante la investigación se descubrió y analizó una red de espionaje cibernético de gran escala. Según el informe del análisis realizado por Kaspersky Lab, la operación Octubre Rojo (Red October), abreviada “Rocra” seguía activa en enero de 2013 y había estado funcionando sin interrupciones desde el 2007.

Principales descubrimientos de la investigación

La red avanzada de espionaje cibernético de Octubre Rojo: Los atacantes han estado activos desde por lo menos el 2007 y se han concentrado en agencias diplomáticas y gubernamentales de varios países en todo el mundo, pero también han afectado a instituciones de investigación, grupos energéticos y nucleares, empresas comerciales y agencias aeroespaciales. Los atacantes de Octubre Rojo diseñaron su propio malware, identificado como “Rocra”, de una peculiar arquitectura modular consistente en extensiones maliciosas, módulos de robo de información y troyanos-backdoors.

Con frecuencia los atacantes usaban información filtrada de las redes atacadas como una forma de obtener acceso a otros sistemas. Por ejemplo, las credenciales robadas se ponían en una lista que los atacantes usaban para adivinar contraseñas de acceso a sistemas adicionales.

Para controlar la red de equipos infectados, los atacantes crearon más de 60 nombres de dominio y varios servidores de hosting en diferentes países, la mayoría en Alemania y Rusia. El análisis que hizo Kaspersky Lab del centro de administración (C2) de la infraestructura muestra que la cadena de servidores funcionaba como proxies que ocultaban la ubicación real del servidor "madre” central.

La información robada de los sistemas infectados incluye documentos con las extensiones: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. En particular, las extensiones “acid*” parecen pertenecer al software clasificado “Acid Cryptofiler”, usado por varias entidades que van desde la Unión Europea hasta la NATO.

Infectando víctimas

Para infectar los sistemas, los atacantes envían a la víctima un mensaje “spear-phishing” que incluye un dropper troyano hecho a la medida del destinatario. Para instalar el malware e infectar el sistema, el mensaje malicioso incluye exploits para vulnerabilidades de Microsoft Office y Microsoft Excel. Los exploits presentes en los documentos usados en los mensajes spear-phishing fueron creados por otros atacantes y se usaron durante diferentes ataques cibernéticos, entre ellos los lanzados contra activistas tibetanos y otros blancos militares y del sector energético en Asia. La única modificación introducida en el documento usado por Rocra es el ejecutable incrustado, que los atacantes reemplazaron por un código propio. Merece la pena destacar que una de las instrucciones del dropper troyano cambiaba el número de la página de código predeterminada de la sesión de entrada de comandos a 1251, que es la necesaria para usar fuentes cirílicas.

Víctimas y organizaciones afectadas

Los expertos de Kaspersky Lab usaron dos métodos para analizar a las víctimas del ataque. En primer lugar, usaron la estadística de detecciones de Kaspersky Security Network (KSN), que es el servicio de seguridad “en la nube” que usan los productos de Kaspersky Lab para hacer informes de telemetría y proporcionar una protección avanzada en forma de listas negras y reglas heurísticas contra todo tipo de amenazas. KSN viene detectando el código del exploit usado en el malware desde 2011, lo que ha permitido a los expertos de Kaspersky Lab buscar detecciones similares a las de Rocra. El segundo método usado por el equipo de investigación de Kaspersky Lab fue crear un servidor sinkhole para monitorizar los equipos infectados que se conectaban a los servidores de administración C2 de Rocra. Los datos obtenidos durante el análisis realizado usando ambos métodos brindaron dos modos independientes de correlacionar y confirmar los descubrimientos.

· Estadísticas de KSN: Se detectaron varios centenares de sistemas únicos infectados partiendo de los datos de KSN y su blanco principal eran varias embajadas, redes y organizaciones gubernamentales, institutos de investigación científica y consulados. Según los datos de KSN, la mayoría de las infecciones identificadas estaban ubicadas en Europa Oriental, pero también se identificaron otras infecciones en Norte y Sur América y los países de Europa Occidental, como Suiza y Luxemburgo.

· Estadísticas del servidor sinkhole: El análisis realizado por el servidor sinkhole de Kaspersky Lab se realizó desde el 2 de noviembre de 2012 hasta el 10 de enero de 2013. Durante este tiempo se registraron más de 55.000 conexiones desde 250 direcciones IP infectadas ubicadas en 39 países. La mayor parte de las conexiones IP infectadas estaban en Suiza, seguida por Kazajstán y Grecia.

El malware Rocra: una arquitectura y funcionalidad únicas

Los atacantes crearon una plataforma de ataque multifuncional que incluye varias extensiones y archivos maliciosos diseñados para adaptarse rápidamente a las configuraciones de diferentes sistemas y recopilar información en los equipos infectados. La plataforma es exclusiva de Rocra, y Kaspersky Lab no la ha detectado en ataques de espionaje cibernético anteriores. Entre sus características notables están:

· Módulo de “resurrección”: Es un módulo peculiar que permite que los atacantes “resuciten” los equipos infectados. El módulo está incrustado en forma de plug-in dentro de los archivos de instalación de Adobe Reader y Microsoft Office, lo que proporciona a los atacantes una forma fácil de recuperar el acceso al sistema si el cuerpo del malware principal fuese descubierto y borrado, o si se aplicasen parches al sistema. Una vez que los servidores de administración se ponen en funcionamiento, los atacantes envían un documento especializado (documentos de MS Office o PDF) a los equipos de las víctimas mediante correo electrónico, que activa de nuevo el malware.

· Módulos de espionaje criptográfico avanzados: El principal objetivo de los módulos de espionaje es robar información. Entre los archivos robados están los de diferentes sistema de criptografía, como Acid Cryptofiler, usado por la NATO, la Unión Europea, el Parlamento Europeo y la Comisión Europea desde verano de 2011 para proteger información sensitiva.

· Dispositivos móviles: Aparte de los blancos tradicionales, como las estaciones de trabajo, el malware puede robar datos de teléfonos móviles, como smartphones (iPhone, Nokia y Windows Mobile). El malware también puede robar información de la configuración de redes corporativas como routers y conmutadores, como también de archivos eliminados de memorias flash.

Identificación de los atacantes: Basándonos en los datos de los servidores C2 y los numerosos objetos que quedan en los ejecutables del malware, vemos que hay evidencias claras de que los atacantes tienen origen ruso. Además, los ejecutables usados por los atacantes eran desconocidos hasta hace poco y los expertos de Kaspersky Lab no los habían detectado durante el análisis de ataques de espionaje cibernético anteriores.

Kaspersky Lab, en colaboración con organizaciones internacionales, fuerzas del orden y los Equipos de Respuesta a Emergencias Informáticas (Computer Emergency Response Teams, CERT), sigue investigando Rocra, proporcionando su experiencia técnica y recursos para procedimientos reparación y de mitigación.

Kaspersky Lab quiere agradecer a: los CERT de EE.UU., Romania y Bielorrusia por su asistencia en la investigación.

Los productos de Kaspersky Lab detectan, neutralizan y curan las consecuencias de los ataques del malware Rocra y lo clasifican como Backdoor.Win32.Sputnik.

Para leer la investigación completa realizada por los expertos de Kaspersky Lab visite http://www.viruslist.es.

Acerca de Kaspersky Lab

2073779766 0306a9751f t

Kaspersky Lab es el proveedor privado más grande del mundo de soluciones de protección para endpoint. La compañía está calificada entre los cuatro principales proveedores de soluciones de seguridad para los usuarios de endpoint*. Durante sus 15 años de historia, Kaspersky Lab ha permanecido un innovador en la seguridad informática y ofrece soluciones efectivas en seguridad digital para los consumidores, pequeñas y medianas empresas y grandes compañías. La compañía actualmente opera en casi 200 países y territorios alrededor del mundo, ofreciendo protección para más de 300 millones de usuarios a nivel global. Obtenga más información en http://latam.kaspersky.com.

*La compañía logró el cuarto lugar en la clasificación IDC de los Ingresos por Seguridad de Endpoint en el Mundo por Proveedor, 2011. La clasificación fue publicada en el reporte IDC del "Pronóstico de Productos de Seguridad Informática en el Mundo, 2012-2016 y de Acciones de Proveedores 2011 – (IDC #235930, Julio de 2012). El reporte calificó a los proveedores de software


Participa con el hashtag #ConCafeRADIO

Descubre más en #ConCafeRADIO




Ciber-espionaje: Octubre Rojo se extiende a Chile y a Brasil

6431736545 ab770cf69a mKaspersky Lab ha identificado la operación de ciber-espionaje: Octubre Rojo que se extiende ya a Latinoamerica, principalmente en Chile y a Brasil” dijo hoy a la 9 am EN VIVO nuestro invitado el Sr. Dmitry Bestuzhev, Head of Global Research and Analysis Team, Latin America de Kaspersky Lab , desde Quito, Ecuador, en eXpectativa por con-cafe y Chevere 91.9 FM, para hablarnos de operación de ciber-espionaje: Octubre Rojo en eXclusiva para #ConCafeRADIO por Chevere 91.9 FM, y Con-Cafe.

2090317207 dd20b02c67 o

Si deseas escucharlo o descargarlo en tu smartphone, has clic aquí: eXpectativa con Dmitry Bestuzhev.

Para los lectores del resto de habla hispana, este es el enlace para conocer cual es la hora legal en Venezuela: http://24timezones.com/es_husohorario/caracas_hora_actual.php

Suscribite a nuestros podcast iOS por iTunes: Instala primero iTunes y luego has clic aquí: Quiero suscribirme a #ConCafeRADIO vía iTunes.

Suscribite a nuestros podcast #ConCafeRADIO por BlackBerry Podcast: http://bit.ly/ITdzFh Esta es la URL de afiliación de nuestro podcast: http://www.ivoox.com/podcast-expectativa-digital_fg_f17300_filtro_1.xml

Suscribite a nuestros podcast #ConCafeRADIO por Android, descargando Listen por Google Play y luego usa esta la URL de afiliación de nuestro podcast: http://www.ivoox.com/podcast-expectativa-digital_fg_f17300_filtro_1.xml

Acerca del autor

Hugo Londoño

Diseño experiencias digitales · Escribo Tecnología @ConCafe · Retrato marcas, comer y vivir Caracas · Fotografía comercial // Con-Café Link Studio ☕

Ver todos los artículos