El ya famoso grupo de activistas en Internet lanzó su propia web de filtraciones (al estilo Wikileaks) y su 1er golpe hizo ruido. Además, el grupo asegura haber desencriptado el código del gusano Stuxnet, usado para atacar plantas industriales en Irán y parte de Asia.
Prácticamente unas horas es lo que se ha tardado en dar luz verde al primer “cable” con el que Anonymous oficializa AnonLeaks, una especie de WikiLeaks creada por el grupo de activistas. De los correos electrónicos publicados ayer se filtra que la empresa de seguridad informática HBGary se encontraba en fase de desarrollo de un nuevo tipo de rootkit para Windows, indetectable y casi imposible de eliminar en el sistema operativo.
Los rootkit son herramientas que pueden realizar tareas de espionaje en programas, claves, archivos o directorios. Permiten la intrusión y el acceso a un sistema de manera remota, pudiendo ejecutar o conseguir información. Aunque existen rootkits para varios sistemas operativos, en este caso el proyecto iba destinado a una herramienta avanzada en Windows.
En esta trama que se destapa estarían implicadas HBGary, la empresa de seguridad, y Farallon Research, una empresa privada contratista del gobierno norteamericano que desde su sitio web no ofrece demasiada información. Poco más que un intrigante eslogan con el que se anuncian y que ofrece muchas sombras sobre la actividad de Farallon. Desde la página se puede leer:
"La misión de Farallon Research es conectar las tecnologías avanzadas comerciales y las empresas que las desarrollen con los requisitos del gobierno de USA".
De los correos obtenidos, encontramos algunas señas de identidad del “proyecto Magenta” y su funcionamiento. HBGary habla de un rootkit multi-contexto en el que Magenta sería un lenguaje puro 100% implementado en el rootkit. El proyecto se inyecta en la memoria del Kernel a través de DriverEntry, como carga parcial. Una vez cargado en la memoria del Kernel, Magenta automáticamente identifica un proceso activo o contexto a sí mismo a través de la inyección en APC. En ese momento el cuerpo del rootkit (Magenta) se ejecuta. Al finalizar cada activación de APC, el “rootkit magenta” se mudará a una nueva ubicación en la memoria e identificará uno o más procedimientos nuevos de activación.
Lo que hace este rootkit es buscar y ejecutar comandos incrustados y mensajes de control buscando en cualquier parte donde pueda existir en la memoria física del host comprometido. Sus características como herramienta avanzada serían:
Nuevo tipo de rootkic (ninguno parecido hasta ahora)
Extremadamente pequeño como huella en la memoria (4K)
Prácticamente imposible de eliminar en un sistema que se encuentre ejecutando
Los últimos envíos de correos por parte de HBGary hablaban de dos fases de contrucción en Magenta. Un primer prototipo totalmente funcional para Windows XP SP3 que les permitiría desarrollar la segunda fase, enfocada en un rootkit Magenta para las versiones de Windows actuales.
Una vez que ha salido a la luz este proyecto, no se sabe si aún continuará o finalmente lo dejan de lado. Pero como podemos ver, HBGary trataba no sólo de reforzar el área de investigación en seguridad, sino ampliar el modelo hacia posibles ataques vía rootkit, con los que se podría llegar a implicar sobre una acción a los dueños de una IP sin saberlo. Quizá aquí tenemos unas de las razones de la existencia de AnonLeaks.
Stuxnet
Stuxnet, el gusano informático que tantos quebraderos de cabeza ha traído en Irán, ha sido anunciado por uno de los activista de Anonymous, asegurando que tienen el código. Stuxnet fue diseñado para hackear el programa nuclear iraní, un virus informático capaz de sabotear aquellas plantas donde se realizaba el procesamiento de uranio en la centrar que se encuentra en Bushehr, Irán. Bajo el nick de Topiary, uno de los activistas de Anonymous, declaró en Twitter el siguiente mensaje: “Anonymous se encuentra en posesión de Stuxnet, ¿algún problema?”
Afirman haber conseguido el código fuente durante la serie de ataques dirigidos a la firma de seguridad HBGary. Al cabo de un rato, otra cuenta en Twitter del grupo publicó lo que parecía ser una parte de descompilado de Stuxnet. La pregunta ahora es: ¿qué pueden hacer con el gusano? ¿podrían llevar a cabo algún ataque con el virus?
La magnitud de Stuxnet, tal y como se ha estado estudiando desde su aparición, es compleja y muy peligrosa. El gusano se transmitió en sus inicios a través de un programa de la multinacional alemana Siemens en el mes de septiembre, pasando a las computadoras que hacían funcionar las centrifugadoras de uranio en la central de Irán, y aunque actualmente se trabaja en sistemas operativos para evitar un posible ataque con el gusano, sigue siendo a día de hoy un arma demasiado sofisticada para lanzarla a la ligera. Aún hoy, no se sabe con exactitud el origen de Stuxnet, aunque se apunta una posible alianza entre Israel y USA.
Aunque Anonymous se encuentre en posesión de Stuxnet, es difícil pensar que puedan llegar a realizar un ataque con él. Algunos expertos en seguridad se muestran exceptivos ante el mensaje de Anonymous, declarando que aunque posean el binario y su desmontaje, no tienen la fuente original para desarrollarlo.
Otros como Orla Cox, analista de seguridad de Simantec, decían al respecto para The Guardian que: “Podría ser posible, aunque se necesitaría mucho trabajo, ciertamente no es algo trivial”. Y es que se habla de un arma que podría desencadenar un “nuevo Chernobyl” como apuntaba el embajador de la OTAN ruso. En cualquier caso, Irán podría encontrarse en estos momentos como uno de los posibles objetivos después de que el grupo de activistas señalara la semana pasada su intención de atacar webs del gobierno en apoyo de las manifestaciones previstas en Teherán.
Fuente.
Fuente.2
