22 enero 2013

La caza del Octubre Rojo

No voy a hablar de la película cuyo título se corresponde con el de este post, por mucho que Sean Connery sea uno de mis actores preferidos, pero he de reconocer que el "virus" descubierto  públicamente estos últimos días, bautizado como "Octubre Rojo", me ha recordado a la película por más motivos que por la simple coincidencia en el nombre: el papel de las instituciones gubernamentales, la capacidad del "virus" para permanecer sumergido en los sistemas... Un material que bien podría servir como argumento para una típica peli de espías hollywoodense.

Sin embargo, mi intención no es analizar las características de la película ni sus coincidencias con este malware en particular, sino hacer una pequeña reflexión acerca de este tipo de malware avanzado, forma tangible de las cada vez más conocidas APTs (Advanced Persistent Threats, o amenazas persistentes avanzadas).

En el fondo, todas las APTs funcionan de la misma forma. Un pequeño malware llega al destinatario, consigue ser ejecutado (por utilización de alguna vulnerabilidad del equipo o simplemente engañando al usuario) y se instala en el equipo de la víctima. A partir de ese momento, ese pequeño malware se dedica a conectarse periódicamente a una serie de servidores en Internet, los centros de control (conocidos como C&C, o Command and Control), desde los que se reciben las órdenes de las actividades maliciosas a llevar a cabo y/o a los que se envía la información recopilada.

En primer lugar me gustaría hacer una observación acerca del papel de los antivirus frente a este tipo de ataques. Obviamente, el software anti-malware es de propósito general, y su objetivo no es identificar ataques dirigidos y personalizados, como suelen ser (en distinto grado) las APTs. No obstante, el comportamiento básico de este tipo de malware es bastante similar en todos los casos, y se basa en actuar  como puerta trasera. ¿No sería posible hacer un esfuerzo especial en identificar este tipo de patrón de funcionamiento? Siendo consciente de la dificultad que puede suponer, creo que este es uno de los ámbitos en los que más se puede incidir en un futuro cercano.

Creo que también es destacable una de las características del "Octubre Rojo": el nivel de personalización (más allá de los destinatarios) del vector de infección (unos archivos en excel y word) era bastante bajo. O dicho de otro modo: esos mismos archivos podrían haber ido dirigidos a cualquiera. ¿Es la sociedad consciente de la existencia de esos ataques?

Redundando en la pregunta anterior, creo que también es destacable que el objetivo potencial del "Octubre Rojo" era prácticamente todo tipo de información que tuviera el usuario. ¿Somos conscientes de que TODA la información que tenemos en nuestro equipo es objetivo potencial de un atacante?

Por último, creo que también es destacable la modularidad del "Octubre Rojo", y su capacidad para cargar, ejecutar y eliminar de forma dinámica diferentes módulos con finalidades diversas, una vez realizas las acciones correspondientes. Me temo que ese planteamiento va a estar cada vez más extendido entre el malware moderno, de modo que cada vez será más complicado su identificación. Está preparado el mercado antimalware para hacer frente a software malicioso de estas características?

En definitiva, creo que la caza del Octubre Rojo puede ser una de las primeras batallas que tenga que lidiar la industria del antimalware a los ojos de la luz pública, y posiblemente sus resultados nos sirvan para hacernos una idea de la capacidad real de la sociedad para hacer frente a este tipo de amenazas. ¿Conseguirán cercar y dar caza al Octubre Rojo? ¿O conseguirán sus tripulantes alcanzar sus objetivos (si no lo han hecho ya)?

No hay comentarios:

Publicar un comentario