Cuando en la mañana del 17 de junio de 2010 Sergey Ulasen encendió su pc, lo primero que hizo fue abrir el correo electrónico de la pequeña empresa de seguridad informática en la que trabajaba. Era una rutina que seguía cada día y en lo primero que seguramente se fijó fue en el mail de un cliente en Irán que reclamaba su atención.
El director de la división de antivirus de VirusBlokAda, una pequeña empresa de seguridad sita en Minsk, era requerido para solucionar un caso de reboot loop. El ordenador iraní se reiniciaba cada minuto, imposibilitando cualquier acción de su dueño. Tenía toda la pinta de que un virus se había hecho con el control del equipo.
Sergey y su equipo analizaron el ordenador iraní descubriendo para su sorpresa que, efectivamente, el causante del problema era un virus y que para infiltrarse utilizaba un exploit de tipo zero-day. Esto en sí es extremadamente raro. Las grandes casas antivirus (Symantec, McAffee...) destapan al año varios millones de virus nuevos y solo un par de decenas de estos utilizan este tipo de ataque. Por explicarlo en pocas palabras un ataque de día cero es aquel que utiliza una vulnerabilidad en un sistema no conocida por nadie. Es decir, que el tipo que desarrolla el virus utiliza para infectar a su víctima un error en el sistema que nadie ha utilizado nunca antes.
El mecanismo de infección del virus era igualmente peculiar. En un mundo globalizado, en el que la mayor parte de los dispositivos están conectados a Internet, el exploit utilizado descartaba utilizar la red de redes decantándose por algo bastante más mundano: La vulnerabilidad estaba en el archivo LNK utilizado por Windows Explorer. Cuando un USB se enchufa al ordenador, Windows automáticamente explora la nueva unidad leyendo los contenidos del mismo. Es ese el momento en que el exploit actua y copia en modo silencioso un archivo bastante grande y parcialmente encriptado en el ordenador. Una hermosa analogía del caballo de Troya de Homero en forma de unos y ceros.
Poco intuía Sergey que él y VirusBlokAda acababan de zambullirse de golpe en el primer escenario de guerra cibernética del que el mundo tendría constancia.
Continuará...
El director de la división de antivirus de VirusBlokAda, una pequeña empresa de seguridad sita en Minsk, era requerido para solucionar un caso de reboot loop. El ordenador iraní se reiniciaba cada minuto, imposibilitando cualquier acción de su dueño. Tenía toda la pinta de que un virus se había hecho con el control del equipo.
Sergey y su equipo analizaron el ordenador iraní descubriendo para su sorpresa que, efectivamente, el causante del problema era un virus y que para infiltrarse utilizaba un exploit de tipo zero-day. Esto en sí es extremadamente raro. Las grandes casas antivirus (Symantec, McAffee...) destapan al año varios millones de virus nuevos y solo un par de decenas de estos utilizan este tipo de ataque. Por explicarlo en pocas palabras un ataque de día cero es aquel que utiliza una vulnerabilidad en un sistema no conocida por nadie. Es decir, que el tipo que desarrolla el virus utiliza para infectar a su víctima un error en el sistema que nadie ha utilizado nunca antes.
El mecanismo de infección del virus era igualmente peculiar. En un mundo globalizado, en el que la mayor parte de los dispositivos están conectados a Internet, el exploit utilizado descartaba utilizar la red de redes decantándose por algo bastante más mundano: La vulnerabilidad estaba en el archivo LNK utilizado por Windows Explorer. Cuando un USB se enchufa al ordenador, Windows automáticamente explora la nueva unidad leyendo los contenidos del mismo. Es ese el momento en que el exploit actua y copia en modo silencioso un archivo bastante grande y parcialmente encriptado en el ordenador. Una hermosa analogía del caballo de Troya de Homero en forma de unos y ceros.
Poco intuía Sergey que él y VirusBlokAda acababan de zambullirse de golpe en el primer escenario de guerra cibernética del que el mundo tendría constancia.
Continuará...
No hay comentarios:
Publicar un comentario