El malware de CCleaner dirigió a las redes internas de Google, Microsoft y Samsung.



El ataque de software malicioso en la utilidad de Windows CCleaner puede haber sido más objetivo y sofisticado de lo que parecía.

ccleaner
Créditos: omicrono

En los días transcurridos desde que se anunció el ataque, se han investigado los datos de un centro de mando y control decomisado, encontrando evidencia de que los atacantes estaban usando el compromiso para agredir a algunas de las compañías tecnológicas más poderosas del mundo.

Los nuevos mensajes de Avast y el grupo de investigación Talos de Cisco detallan los hallazgos, según lo informado por primera vez por Wired. En el momento en que el servidor fue decomisado, los atacantes estaban apuntando a una serie de dominios internos con una carga útil de segunda etapa, diseñados para recopilar datos y proporcionar acceso persistente a cualquier dispositivo infectado.

La lista de dominios, publicada por Talos, revela una serie de empresas tecnológicas importantes. “Ntdev.corp.microsoft.com” es un dominio interno para los desarrolladores de Windows, mientras que hq.gmail.com parece ser la instancia interna de Gmail para los empleados de Google. Otros objetivos incluyen Sony, Samsung, Intel y Akamai. Los dominios también incluyen una compañía alemana de máquinas tragamonedas y grandes telecomunicaciones en Singapur y el Reino Unido.

La lista sólo incluye los dominios que fueron seleccionados durante los cuatro días anteriores a la captura del servidor, por lo que es totalmente posible que otras compañías se hayan seleccionado anteriormente. Sin embargo, la naturaleza de la carga útil en dos etapas sugiere que el ataque fue imparcial, con el objetivo de entrar en empresas específicas en lugar de comprometer millones de computadoras a la vez. “Este fue un típico agujero de riego ataque donde la gran mayoría de los usuarios eran poco interesantes para el atacante, pero algunos eran“, escribió Avast. Los investigadores ahora estiman que sólo 700.000 computadoras fueron expuestas por el ataque, por debajo de las estimaciones que es habían dicho de 2,2 millones.


Todavía no está claro qué empresas fueron atacadas con éxito. Talos registró al menos 20 computadoras que fueron apuntadas por la carga útil, pero los investigadores no han revelado qué compañías estaban involucradas. Tampoco está claro qué buscaban los atacantes, aunque Talos señala que los dominios apuntados “sugerirían un factor muy concentrado después de una valiosa propiedad intelectual“.

Ningún grupo ha hecho una atribución oficial, pero los investigadores de Kaspersky han notado un código de superposición significativo entre el ataque de CCleaner y los ataques anteriores del grupo de amenaza Axiom, un hallazgo que Talos confirmó. Investigaciones anteriores han vinculado el grupo Axiom a los servicios de inteligencia chinos con moderada a alta confianza.

Te puede interesar: 
Bose SoundSport free Audífonos libres quieren deshacerse de los AirPods

Sin embargo, es probable que los investigadores aprendan más sobre la campaña en las próximas semanas. Los datos del servidor de comandos inicial han revelado varios otros servidores utilizados en el ataque, que la policía está trabajando actualmente para localizar y aprovechar.

Referencia: theverge


Un comentario Añadir valoración

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *