(cc) copyfighting

En 2009, Google denunció que atacantes que provenían aparentemente de China ingresaron a sus sistemas. La compañía afirmó en ese entonces que los atacantes trabajaban para el gobierno chino, cosa que el país asiático negó.

Como sea, estos hackers no han estado durmiendo en los últimos años: según un estudio de Symantec, han atacado aparentemente más de 1.000 computadoras de empresas aprovechándose de al menos ocho vulnerabilidades de día cero, cinco de las cuales afectan a Adobe Flash Player y una a Internet Explorer.

Los investigadores de Symantec rastrearon el trabajo de estos hackers luego de descubrir varias similitudes entre el método de ataque a Google y el que se había usado en otras empresas y organizaciones. Bautizaron a la banda como “Elderwood gang”, basándose en un parámetro usado en los códigos de ataque.

El grupo no sólo ha atacado empresas, sino también organizaciones no gubernamentales, particularmente las relacionadas con derechos humanos en el Tíbet y China.

La mayoría de las víctimas detectadas por la empreas están en Estados Unidos, con ataques enfocados a recolectar información de inteligencia y propiedad intelectual, como secretos de negocios y planos de diseño. Varios de los ataques incluyeron en el proceso a compañías proveedoras de servicios o partes mecánicas o electrónicas, como paso previo a la embestida contra el objetivo principal.

Symantec cree que el grupo de hackers está compuesto por varios equipos con diferentes habilidades y tareas. Los más especializados probablemente se dedican a encontrar vulnerabilidades de día cero, escribir exploits, crear herramientas e infectar sitios web, mientras un equipo menos especializado se dedica a identificar objetivos basándose en diferentes metas, como robar diseños de un producto militar, o rastrear actividades de un activista de derechos humanos, y enviar los ataques. Un tercer grupo tendría la misión de revisar y analizar los documentos robados a las víctimas.

Según los investigadores, los atacantes parecen proceder por etapas, atacando de forma agresiva por tres meses, para luego desaparecer por un tiempo antes de volver a atacar. Esta pausa puede deberse al tiempo requerido para analizar la información obtenida con el ataque, y para identificar nuevos objetivos que atacar.

Lo más sorprendente para Symantec fue observar la cantidad de vulnerabilidades de día cero que este grupo ha utilizado en los últimos tres años. La compañía sugiere que tienen acceso al código fuente de las aplicaciones de las que se están aprovechando, o realizaron una ingeniería inversa tan buena que ya tienen un stock de vulnerabilidades esperando a ser explotadas.

Los atacantes parecen tener una cantidad considerable de exploits ordenados esperando para usar, de modo que si una falla de día cero es descubierta, tienen otra de la cual aprovecharse.

Una vulnerabilidad de día cero es un agujero de seguridad en un software que es desconocido para su creador, por lo que no es reparado. Estas vulnerabilidades son aprovechadas por atacantes para hacer ingresar programas maliciosos, como un troyano, a un computador objetivo.

Link: Sleuths trace new zero-day attacks to hackers who hit Google (Wired)