Vulnerabilidades de Java propician los ataques a Apple, Microsoft, Facebook y Twitter en febrero
Se ha apuntado a China como potencial origen del ataque, que también ha afectado a importantes medios de comunicación, como The New York Times, The Washington Post o The Wall Street Journal.
Madrid, 28 de febrero de 2013.- Febrero ha sido el mes de los ataques dirigidos contra grandes compañías, como Appleo Microsoft; redes sociales, como Facebook y Twitter; y grandes medios de comunicación. Aunque no está clara la autoría, se especula con que China pudiera estar detrás de esta maniobra a gran escala que, aprovechandovulnerabilidades de Java, ha conseguido penetrar en grandes compañías y causar problemas.
Los primeros que dieron la voz de alarma a principios de mes fueron algunos de los periódicos más importantes a nivel mundial como The New York Times, The Washington Post o The Wall Street Journal. Estos tres periódicos reconocieron haber sufrido una intrusión en sus sistemas que habría conseguido las credenciales de sus empleados y, por lo tanto, acceso a información confidencial.
Casi al mismo tiempo, la red de microblogging Twitter anunció que también había sufrido un ataque similar y que, según algunas estimaciones, podría haber comprometido la seguridad de alrededor de 250.000 cuentas. En el blog de Twitter se hacía mención a la posibilidad de que se hubiese usado una reciente vulnerabilidad en Java como vector de ataque, que no iba nada desencaminada.
Un par de semanas después de este anuncio fue Facebook quien informó de una intrusión similar en su red en el mismo período que el anunciado por Twitter. En esta ocasión se apuntó directamente a Java como el vector de ataque usado al haber sido infectados varios equipos de los empleados de Facebook visitando una web legítima preparada para descargar código malicioso si el equipo contaba con una versión vulnerable de Java.
“A pesar de que todos los indicios apuntan a China como responsable de estos ataques, no es seguro afirmarlo categóricamente. Por mucho que la mayoría de las empresas afectadas hablen de ataques sofisticados, la realidad es que, salvo los objetivos elegidos, esta técnica de propagación de malware no se diferencia apenas de las que venimos observando desde hace meses y que han afectado a millones de usuarios en todo el mundo“, afirma Josep Albors, Director de Comunicación de ESET NOD32 España.
También hubo otra serie de intrusiones no autorizadas como la que sufrió el Departamento de Energía de los Estados Unidos. En este ataque se consiguió acceder a la información de cientos de trabajadores del organismo y para ello se llegaron a comprometer 14 servidores y 20 estaciones de trabajo. También durante el pasado mes, observamos cómo se aprovecharon fallos en webs legítimas con una importante reputación para propagar malware entre sus usuarios. Dos de estos ejemplos fueron las webs de la cadena NBC o de la empresa de seguridad Bit9, que estuvieron durante varias horas descargando malware en los ordenadores de los miles de usuarios que visitaban sus webs.
Por San Valentín, tuvimos precauciones mil
Febrero ha sido también el mes en el que, como todos sabemos, celebramos la festividad de San Valentín, un gancho que tradicionalmente aprovechan los creadores de malware para distribuir sus desarrollos. Este año no ha sido la excepción y hemos visto varios casos como los correos que prometían regalos especiales para esas fechas pero que terminaban llevando a los usuarios a rellenar encuestas para participar en un sorteo de dudosa procedencia.
Como dato anecdótico, los hacktivistas de Anonymous también se sumaron a celebrar esta festividad con la#OpValentine. En esta operación querían mostrar su apoyo a todos aquellos hacktivistas que hubieran sido privados de libertad tras haber realizado alguna acción de protesta que su gobierno hubiera considerado ilegal.
En febrero también vimos cómo la Brigada de Investigación Tecnológica de la Policía española, en colaboración con la Europol, asestaba un duro golpe a un grupo de ciberdelincuentes que usaban el malware conocido comúnmente como“Virus de la Policía” para lucrarse.
Engaños, vulnerabilidades y hackeos de cuentas en redes sociales
La red social Facebook fue protagonista de varios incidentes de seguridad entre los que destacamos un nuevo ejemplo de noticia falsa con gancho para atraer a los usuarios a pulsar sobre un enlace malicioso. En esta ocasión se utilizó como gancho a Justin Bieber y a su novia, en una foto retocada para provocar la curiosidad de todos los que la vieran. La finalidad de esta campaña era la de atraer a los usuarios hasta una web donde se les suscribía a un servicio de trivial de pago.
Otra de las actividades de dudosa legalidad que vimos propagándose por Facebook consistía en un supuesto sorteo de varios móviles Samsung Galaxy SIII que empezó a difundirse desde la fanpage de una empresa y que tenía como objetivo a usuarios españoles. En solo un par de días, alrededor de un cuarto de millón de usuarios habían compartido ese falso sorteo que tan solo buscaba obtener datos como el teléfono de los usuarios con dudosa finalidad.
Por último, también analizamos una vulnerabilidad en Facebook que había sido corregida y que permitía a un atacante hacerse con el control de cualquier cuenta aprovechando un fallo en el manejo de URL especiales. El descubridor de esta vulnerabilidad la comunicó a los desarrolladores de Facebook y se pudo solucionar antes de que se hiciera pública y fuese explotada de forma masiva.
Además de por anunciar la intrusión en su red, Twitter también fue noticia al producirse varios accesos no autorizados a cuentas importantes como las de Burger King o Jeep. En ambos casos se modificó la imagen de la cuenta mostrando información de la competencia (McDonald’s en el caso de Burger King y Cadillac en el caso de Jeep). Por suerte esto no pasó a mayores y no se obtuvieron datos de los clientes, con lo que quedó tan sólo en una travesura.
Quienes sí tuvieron que preocuparse por los datos personales que se filtraron fueron los miembros de la Academia de Cine española, puesto que, tal y como sucedió el año pasado, miembros del grupo hacktivista LulzES consiguieron acceder a ellos y publicarlos durante la celebración de la ceremonia de entrega de los premios Goya. Otro caso de publicación de datos privados fue el que afectó a la familia de los expresidentes Bush. En este caso, un atacante consiguió acceder a varias de las cuentas de correo electrónico de la familia Bush obteniendo y publicando información interesante entre la que se encuentran varias fotografías, direcciones de residencia y varios emails de los miembros de la familia.
Más vulnerabilidades
Entre las múltiples vulnerabilidades que se publicaron el pasado mes encontramos la descubierta en el protocolo de comunicación TLS (el más usado en la actualidad), que permitiría interceptar comunicaciones que hasta ahora consideramos seguras con todos los problemas que ello conlleva.
Microsoft sorprendió a todos al lanzar un parche de actualizaciones considerablemente grande que solucionaba 56 vulnerabilidades, muchas de ellas críticas. Entre estas vulnerabilidades se encontraba la que afectaba a Internet Explorer en sus versiones 6, 7 y 8, y que es aprovechada por ciberdelincuentes desde hace meses.
Otro software que sigue muy presente en entornos corporativos y que también presentó vulnerabilidades el mes pasado fue BlackBerry Enterprise Server. Esta útil herramienta de sincronización entre teléfonos móviles y servicios esenciales como el email presentaba una vulnerabilidad en el manejo de cierto tipo de ficheros que hacía posible que un atacante pudiera ejecutar código en el servidor donde se alojara.
Otros de los programas usados como vector de ataque, además de Java, son las aplicaciones de Adobe. Durante el pasado mes analizamos fallos de seguridad en dos aplicaciones de esta empresa como son Flash Player y Adobe Reader. Estas vulnerabilidades estaban siendo utilizadas para descargar malware en los sistemas de los usuarios y el caso del fallo de seguridad en Adobe Reader era especialmente significativo, puesto que es la primera vez que se consigue saltar la protección sandbox que incluye esta aplicación en sus últimas versiones.
Más información sobre estas y otras amenazas en el Blog de Laboratorio de ESET NOD32 España.