Para los que aún no se hayan enterado, hoy 30 de noviembre es lo que se ha acordado mundialmente como el Día Internacional de la Seguridad Informática, una fecha diseñada exclusivamente para realizar diversas acciones de concientización. Desde ESET Latinoamérica hemos decidido aprovechar la fecha para comenzar a presentarles el resumen de los acontecimientos más importantes del año en materia de seguridad informática, que hemos realizado y presentamos previo a las tendencias para el próximo año, que serán publicadas en las próximas semanas.
El presente es un resumen de los hechos más relevantes en materia de códigos maliciosos durante el año 2010. Considerando los incidentes más importantes relacionados al malware durante el año, podrían considerarse diversos hechos agrupados en tres categorías: ataques dirigidos, redes botnet y ataques regionales en Latinoamérica. A continuación serán detallados los aspectos más importantes de cada uno de los ataques que se destacaron durante el año, ya sea por su magnitud, su innovación o el impacto causado en usuarios y organizaciones en todo el mundo, o la región latinoamericana.
Ataques dirigidos
Curiosamente hubo dos grandes hechos relacionados a los ataques dirigidos durante el año 2010: uno apenas comenzado el año, y otro que se hizo notorio más bien culminándolo.
En primer lugar, apenas pasaron unos pocos días del año nuevo, se hizo conocido un ataque informático a grandes empresas tecnológicas, que se dio a conocer como Operación Aurora. Se trató de un ataque motivado con el ánimo de robar información de propiedad intelectual a grandes compañías, entre las que estuvo incluida Google, quién hizo público el ataque (otra suposición indica que su objetivo principal fue la intención de robar cuentas de Gmail de activista de derechos humanos en China). El ataque consistió en el envío de correos electrónicos maliciosos dirigidos, especialmente enviados a personas con altos cargos dentro de las compañías afectadas. Durante el proceso de infección se intentaba explotar en el sistema de la víctima una vulnerabilidad del tipo 0-day en Internet Explorer, a través de técnicas de Drive-by-Download. A pesar de ser un ataque dirigido, unos pocos días después el mismo se había masificado, convirtiendo a Operación Aurora en el ataque masivo más notorio del comienzo de año. Según los análisis del Laboratorio de ESET, se detectaron en el mes de enero más de 650 versiones del código del exploit, todos ellos detectados por ESET NOD32 como Trojan.JS/Exploit.CVE-2010-0249. También fueron identificados más de 220 puntos de distribución únicos de la amenaza, en su mayoría localizados en Asia (todos los indicios apuntan a que el ataque fue de origen chino). Además, en las pruebas de laboratorio, un equipo infectado con estas amenazas finalizaba en un corto tiempo infectado por ocho códigos maliciosos distintos.
En segundo lugar, en el que será considerado el código malicioso del año, aparece el gusano Stuxnet, que consistió en un código malicioso dirigido, no por las organizaciones a las que fue enviado, sino por las tecnologías que afectaba, ya que estaba diseñado para causar daño exclusivamente en sistemas SCADA, especialmente a dos productos diseñados por la empresa Siemens. El código malicioso utilizaba diversas vulnerabilidades 0-day para propagarse por sistemas en todo el mundo, pero con la particularidad que los miles de sistemas Windows afectados sólo servían como soporte para que el gusano continúe su propagación, pero las rutinas maliciosas estaban diseñadas exclusivamente para dañar estos sistemas que son utilizados para diversos sistemas críticos como control automático de sistemas inteligentes, hasta el control de sistemas de plantas de energía nuclear. Detectado como Win32/Stuxnet.A, la amenaza logró infectar 45,000 sistemas de control industrial a lo largo del mundo, y en sus primeras semanas de vida, especialistas de ESET detectaron que el 52.2% de las infecciones de esta amenaza habían sido detectadas en Irán, un dato curioso respecto a dónde podría haber sido originado el incidente o diseminado inicialmente. Con el pasar de las semanas, las tasas fueron repartidas en valores normales a lo largo del mundo. Por sus características particulares de infección, Stuxnet ocupó la atención de la comunidad de la seguridad informática, ya que sin dudas el mismo fue desarrollado por un grupo muy habilidoso de personas, con un alto conocimiento interno de los sistemas SCADA, lo que ha ocupado diversas investigaciones respecto a sus características y posibles orígenes de la amenaza.
El día de mañana continuaremos presentando la segunda parte de las amenazas más importantes del 2010, así que ¡estén atentos!
Sebastián Bortnik
Coordinador de Awareness & Research