La nueva variante del Stuxnet vuelve a estar firmada con un certificado válido

———————————————————————–
El último ataque contra Windows (con enlaces directos) fue descubierto a
través de un troyano que ha sido bautizado como Stuxnet. Una de sus
características era que los drivers que usaba estaban firmados
digitalmente por la famosa empresa china Realtek. Ahora, después de que
hayan sido revocados, los atacantes han comenzado a utilizar los de otra
empresa legítima: JMicron Technology Corporation.
Los drivers de Stuxnet utilizados como rootkit, estaban firmados
digitalmente por la famosa empresa china Realtek. Esto significa que, en
principio, solo Realtek puede ser responsable de ese código… excepto
que su clave privada haya sido comprometida de alguna forma, cosa que no
se ha confirmado todavía. En cualquier caso, Microsoft ha trabajado con
Verisign para revocar en sus sistemas los certificados (con el apoyo de
Realtek también). Parece que ante este "contratiempo" los atacantes han
reaccionado firmando su troyano de nuevo con un certificado válido de
otra empresa Taiwanesa dedicada también a crear controladores, llamada
JMicron.
Según ha notado Pierre-Marc Bureau de ESET, la única relación entre esas
dos compañías es que comparten oficinas en Hsinchu Science Park, Taiwan.
Esto abre las puertas a todo tipo de suposiciones: un atacante ha podido
introducirse físicamente en el edificio y aprovechar algún error gracias
a la ingeniería social… o se ha realizado un ataque dirigido a ambas
compañías… o simplemente han comprado los certificados robados a un
tercero… o quizás ninguna de estas hipótesis y compartir oficinas es
solo una coincidencia.
Microsoft, para comprobar la firma de binarios, utiliza Authenticode.
Los ficheros pueden estar firmados digitalmente con la clave privada del
fabricante o programador (Microsoft los llama "editores" en Windows). De
esta forma, gracias a la criptografía asimétrica, podemos saber que el
código viene de quien dice venir, y que teóricamente no ha sido alterado
por nadie sin su permiso. Windows presenta este tipo de avisos antes de
lanzar un ejecutable y sirven como "control de calidad" de drivers. Nos
advierten básicamente de que el binario está firmado por el fabricante
de turno, y pregunta qué queremos hacer. En el diálogo, nos indica que:
"Aunque los archivos procedentes de Internet pueden llegar a ser útiles,
este tipo de archivo puede llegar a dañar el equipo. Solo ejecute
software de los editores en los que confía"
Y efectivamente, esa es la situación ideal: ejecutar código solo de
quien se confía. Aunque no siempre es cierto, como es el caso, si al
editor confiable le han robado el certificado y usurpado la identidad.
¿De cuántos más certificados válidos dispondrán estos atacantes? Un
curioso caso que nos da una idea de hasta dónde llega el malware
profesional.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: