En los últimos días se ha estado hablando a nivel global sobre la llamada "Operación Aurora" (también conocida como Comele o Hydraq) sin embargo ¿de qué se trata esto? Este el "nombre de combate" que recibió un ataque masivo contra varias corporaciones entre las que se encuentran Google, Adobe, Juniper, RackSpace y otras 30 que aún no se dieron a conocer.

¿Por qué recibe este nombre?

El nombre Operación Aurora fue dado por los investigadores luego de detectar en el código fuente de uno de los malware involucrados en el ataque, cadenas de caracteres que se refieren al proyecto como "aurora".

¿Cuál fue el objetivo?

Existen varias hipótesis. Sin embargo las más firmes son dos: por un lado, que el ataque fue motivado con el ánimo de robar información de propiedad intelectual a grandes compañias; y por el otro, que su objetivo principal fue la intención de robar cuentas de Gmail de activista de derechos humanos en China.

¿Quién es el autor del malware utilizado en la operación aurora?

En función de una serie de análisis realizados sobre el código fuente del malware involucrado en la operación, se llega a la conclusión que el autor posiblemente es de origen chino, ya que en el código fuente de algunos de los componentes, se encuentran referencias del idioma chino simplificado.

¿Cuándo comenzó el ataque?

El ataque fue hecho público por Google durante la segunda semana de enero de este año, sin embargo, aparentemente comenzó a gestarse desde diciembre del 2009.

¿Qué se utilizó para llevar a cabo el ataque?

En un principio, los comentarios al respecto hablaban de un ataque utilizando un exploit del tipo 0-Day embebido en archivos PDF, como el utilizado recientemente. Sin embargo, los investigadores llegaron a la conclusión de que el ataque tiene como objeto una vulnerabilidad 0-Day de Internet Explorer identificado como CVE-2010-0249 y KB979352 (para la cual se acaba de publicar un parche).

¿Qué versiones de Internet Explorer y Windows afecta?

Originalmente el ataque utilizó un exploit diseñado para la versión 6.0 de Internet Explorer, sin embargo, las versiones 7 y 8 también son vulnerables y actualmente están siendo aprovechadas por delincuentes informáticos para propagar gran cantidad de malware y reclutar zombis para botnets.

Los sistemas operativos que se ven afectados son: Windows 2000 SP4, XP, 2003, Windows Vista y Windows 2008. En el siguiente enlace de Microsoft se encuentran detalles al respecto.

¿Cómo se llevó a cabo el ataque?

Si bien las empresas afectadas lo están investigando, se presume que el ataque tuvo como principal blanco de acceso, la propagación del exploit a través de correos electrónicos, supuestamente emitidos por entidades de confianza, cuyos destinatarios eran personas con altos cargos dentro de las compañías (ataque dirigido). Esto confirma lo dicho por ESET Latinoamérica en nuestro informe de Tendencias 2010 sobre el Crimeware.

En los últimos días también se ha detectado la propagación de esta amenaza utilizando como vector de ataque el cliente de mensajería instantánea "Misslee Messenger", muy popular en Corea.

Como era de esperar, la vulnerabilidad esta siendo utilizada para realizar ataques a gran escala hacia usuarios por parte de los delincuentes informáticos, pero esto no guarda relación alguna con la Operación Aurora original.

¿Cómo sigue el caso?

Si bien la operación original ya no está siendo llevada a cabo, el ataque ahora ocurre en forma masiva desde distintos sitios a través de Drive-by-Download, con distintos tipos de malware y orientados a todo tipo de usuarios. ESET NOD32 detecta proactivamente estos códigos como JS/Exploit.CVE-2010-0249 y variantes de Win32/AutoRun.Delf y Win32/Agent.OBZ, orientados al robo de información confidencial.

Contramedidas

Aunque la vulnerabilidad afecta a Internet Explorer 6, 7 y 8, es recomendable actualizar el navegador a esta última versión, ya que por defecto, Internet Explorer 8 tiene activada la funcionalidad DEP, que previene la ejecución de datos, necesaria para la infección del sistema.

En el día de la fecha Microsoft ha lanzando un parche oficial MS10-002 para esta vulnerabilidad que reviste el carácter de crítico. Se debe actualizar con el mismo todas las versiones de Internet Explorer y los sistemas operativos desde Windows 2000 hasta el reciente Windows 7.

Además, es recomendable implementar en la organización una solución de seguridad en profundidad que contemple todas las capas posible para resguardar los activos. Por ejemplo, se puede implementar ESET Gateway Security o ESET Mail Security en los servidores para controlar el acceso a determinadas direcciones web o correos, detectando el malware que intente ingresar en la organización y se puede implementar ESET NOD32 en el cliente para protegerlo contra el ingreso de USB infectados.

Conclusión

Lo grave es que este tipo de ataques son muy fáciles de explotar cuando no se dan todas las condiciones necesarias de seguridad, ya que con el solo hecho de acceder a Internet a través de un navegador o abrir un correo electrónico y, si encuentra la vulnerabilidad, el atacante podrá acceder a información confidencial de la organización.

Teniendo en cuenta que fueron muchas y grandes las compañías afectadas a través de la Operación Aurora, lo primero que se cuestiona, es el hecho de que todavía se siga utilizando un navegar tan antiguo: aproximadamente el 20% aún utiliza Internet Explorer 6.0.

Esto deja en evidencia que, para asegurar los activos de cualquier tipo de organización, se debe tener en cuenta todos los mecanismos de seguridad existentes y que los mismos deben ser considerados en una política global de seguridad.

Jorge Mieres
Analista de Seguridad