APT Las Advanced Persistent Threats (APTs) son una categora de malware que se encuentra totalmente orientado atacar

objetivos empresariales o polticos. Todos los APTs tienen algunas caractersticas en comn, pero sin dudas una de las mayores caractersticas es la capacidad de ocultamiento por parte de este tipo de amenazas. Al ser amenazas altamente sigilosas, estas logran perdurar dentro de la red afectada por largos periodos de tiempo sin ser detectadas. Sin embargo, en su nombre en ningn momento aparece la palabra sigilosa (en ingls Stealth), advanced persistent threat hace referencia a tres caractersticas muy importantes en este tipo de malware sin importar la diferencia que pudiera existir en todas las definiciones que podemos encontrar en Internet.

Se les llama avanzadas (en ingls Advanced), ya que este tipo de amenazas cuentan no con uno, sino con varios mtodos de ataque, propagacin u ocultamiento en el sistema. As mismo, se conoce que este tipo de amenazas son generadas por grupos de profesionales, quienes tienen el tiempo, el conocimiento, la paciencia y los recursos para generar una pieza nica, sin precedentes, generadas desde la nada misma, evitando herramientas de construccin de malware. http://blog.segu-info.com.ar/2011/09/apt-advanced-persistent-threats.html#axzz2bImSpFXS Advanced Persistent Threats (APTs) are a cybercrime category directed at business and political targets. APTs require a high degree of stealithiness over a prolonged duration of operation in order to be successful. The attack objectives therefore typically extend beyond immediate financial gain, and compromised systems continue to be of service even after key systems have been breached and initial goals reached. Damballa, Inc https://www.damballa.com/knowledge/advanced-persistent-threats.php

While APTs use many of the same techniques as traditional attacks, they differ from common botnets and malware because they target strategic users to gain undetected access to key assets. APTs can do insidious damage long before an organization knows that it has been hit. While blocking attacks before they can infiltrate your network is always the best means of minimizing harm, organizations under APT siege can fight back with intelligently designed incident response plans geared to their unique characteristics. APTs are to intrusion detection what stealth aircraft are to radar. They are targeted attacks designed to evade conventional detection. Once inside and disguised as legitimate traffic, they can establish covert, long-term residency to siphon your valuable data with impunity. While recent headlines have focused on the most sensational examples of highly organized and wellfunded attacksGoogle, Adobe, RSA, Lockheed Martin, SONY, and PBSthousands of

undisclosed attacks have quietly plagued government agencies and corporations large and small worldwide. APTs represent a fundamental shift compared to the high-profile hacking events of prior years that commonly targeted networks. Focusing on the weakest links of your defense chain, APTs target specific system vulnerabilities and, more importantly, specific people. While the victimized organizations vary in size, type, and industry, the individuals they target usually fit the same profile: people with the highest-level access to the most valuable assets and resources. http://www.mcafee.com/us/resources/white-papers/wp-combat-advanced-persist-threats.pdf An advanced persistent threat (APT) refers to a cyberattack launched by an attacker with substantial means, organization and motivation to carry out a sustained assault against a target. An APT is advanced in the sense that it employs stealth and multiple attack methods to compromise the target, which is often a high-value corporate or government resource. The attack is difficult to detect, remove, and attribute. Once the target is breached, back doors are often created to provide the attacker with ongoing access to the compromised system. An APT is persistent because the attacker can spend months gathering intelligence about the target and use that intelligence to launch multiple attacks over an extended period of time. It is threatening because perpetrators are often after highly sensitive information, such as the layout of nuclear power plants or codes to break into U.S. defense contractors. http://www.techopedia.com/definition/28118/advanced-persistent-threat-apt

Stuxnet es un gusano informtico que afecta a equipos con Windows, descubierto en junio de 2010 por VirusBlokAda, una empresa de seguridad radicada en Bielorrusia. Es el primer gusano conocido que espa y reprograma sistemas industriales,1 en concreto sistemas SCADA de control y monitorizacin de procesos, pudiendo afectar a infraestructuras crticas como centrales nucleares.2 Stuxnet es capaz de reprogramar controladores lgicos programables y ocultar los cambios realizados.3 Tambin es el primer gusano conocido que incluye un rootkit para sistemas reprogramables PLC.4 La compaa europea de seguridad digital Kaspersky Labs describa a Stuxnet en una nota de prensa como "un prototipo funcional y aterrador de un arma ciberntica que conducir a la creacin de una nueva carrera armamentstica mundial". Kevin Hogan, un ejecutivo de Symantec, advirti que el 60% de los ordenadores contaminados por el gusano se encuentran en Irn, sugiriendo que sus instalaciones industriales podran ser su objetivo.5 Kaspersky concluye que los ataques slo pudieron producirse "con el apoyo de una nacin soberana", convirtiendo a Irn en el primer objetivo de una guerra ciberntica real.6 7 8

El objetivo ms probable del gusano, segn corroboran medios como BBC o el Daily Telegraph,9 10 pudieron ser infraestructuras de alto valor pertenecientes a Irn y con sistemas de control de Siemens. Medios como India Times apuntan que el ataque pudo haber retrasado la puesta en marcha de la planta nuclear de Bushehr.11 Fuentes iranes han calificado el ataque como "guerra electrnica"12 aunque minimizan el impacto de los daos en sus instalaciones. Algunos medios como el norteamericano New York Times han atribuido su autora a los servicios secretos estadounidenses e israeles. http://es.wikipedia.org/wiki/Stuxnet http://www.youtube.com/watch?v=Y7B34fucXrA

Flame is a highly sophisticated, malicious program that is actively being used as a cyber weapon to target entities in several countries. Discovered by Kaspersky Labs experts during an investigation that was prompted by the International Telecommunication Union (ITU) Flame is designed to carry out cyber espionage. It can steal valuable information including but not limited to computer display contents, information about targeted systems, stored files, contact data and even audio conversations. Its complexity and functionality exceed those of all other known cyber weapons. Flame is the largest cyber weapon discovered to date and it was designed in a way that made it nearly impossible to track down. Whereas conventional malware is built to be small and hidden, Flames sheer size allowed it to remain undiscovered. Flame infects computers by using sophisticated techniques that were previously used by only one cyber weapon: Stuxnet. Although it appears that Flame has been operational since March 2010, no security software had discovered it... until Kaspersky Lab. http://www.kaspersky.com/flame

Flame,nota 1 tambin conocido como Flamer, sKyWIper,nota 2 y Skywiper,1 es un malware modular descubierto en 20122 3 que ataca ordenadores con el sistema operativo Microsoft Windows.4 El programa se ha usado para llevar a cabo ataques de ciber espionaje en pases de Oriente Medio.5 4 6 Su descubrimiento fue anunciado el 28 de mayo de 2012 por MAHER (el Equipo de Respuesta ante Emergencias Informticas de Irn),4 Kaspersky Lab6 y el CrySyS Lab. de la Universidad de Tecnologa y Economa de Budapest.5 Este ltimo afirma que "sKyWIper es el malware ms sofisticado que hemos encontrado durante nuestros aos de trabajo, es el malware ms complejo que se ha encontrado".5 Flame puede propagarse a otros sistemas a travs de la red de rea local (LAN) y mediante memorias USB. Puede grabar audio, capturas de pantalla, pulsaciones de teclado y trfico de red.6

El programa tambin graba conversaciones de Skype y puede controlar el Bluetooth para intentar obtener informacin de los dispositivos Bluetooth cercanos.7 Estos datos, junto con los documentos almacenados en el ordenador, son enviados a uno o varios servidores dispersos alrededor del mundo. Cuando termina, el programa se mantiene a la espera hasta que recibe nuevas instrucciones de esos servidores.6 De acuerdo a las estimaciones de Kaspersky, Flame ha infectado aproximadamente 1.000 mquinas.7 Entre las vctimas se encuentran organizaciones gubernamentales, instituciones educativas y usuarios privados.6 En mayo de 2012, los pases ms afectados son Irn, Israel, Sudn, Siria, Lbano, Arabia Saud y Egipto.2 6 El malware tiene un tamao inusualmente grande de 20 MB, est escrito parcialmente en el lenguaje de programacin interpretado Lua con cdigo C++ compilado y permite que otros mdulos atacantes sean cargados despus de la infeccin inicial.6 8 El malware usa cinco mtodos diferentes de cifrado y una base de datos SQLite para almacenar informacin.5 El mtodo usado para inyectar el cdigo en varios procesos es silencioso, de forma que los mdulos malware no aparecen en la lista de los mdulos cargados en un proceso y las pginas de memoria son protegidas con los permisos READ, WRITE y EXECUTE que la hacen inaccesible para las aplicaciones en modo usuario.5 El cdigo interno tiene pocas similitudes con otros malware, pero aprovecha dos vulnerabilidades que tambin fueron usadas previamente por Stuxnet para infectar sistemas.5 El malware determina qu software antivirus est instalado en el sistema y modifica su comportamiento (por ejemplo, cambiando la extensin de archivo que utiliza) para reducir la probabilidad de ser detectado por ese software.5 Indicadores adicionales de que un sistema est infectado son la exclusin mutua (mutex) y la actividad del registro. Tambin la instalacin de un driver de audio falso que permite al software iniciarse al arrancar el sistema.8 http://es.wikipedia.org/wiki/Flame_(malware)

Qu es Gauss? De dnde proviene su nombre?

Gaus es una herramienta de ciberespionaje compleja creada por los mismos cibercriminales responsables de la plataforma de malware Flame. Es muy modular y acepta nuevas funciones en la forma de complementos que los operadores pueden utilizar a distancia. Los complementos que se conocen por ahora tienen las siguientes funciones:

Interceptar las cookies y contraseas del navegador. Recolectar y enviar los datos de configuracin del sistema a los atacantes. Infectar dispositivos USB con un mdulo para robar datos. Hacer una lista del contenido de los discos y carpetas del sistema. Robar las credenciales de acceso a varios sistemas bancarios del Oriente Medio. Secuestrar la informacin de las cuentas de redes sociales, correos electrnicos y mensajera instantnea. La arquitectura modular de Gauss es parecida a la de Duqu: utiliza un registro codificado para guardar informacin sobre los complementos que debe cargar; est diseada para mantener escondido el malware, evadir los productos de seguridad y monitorizar programas, y emplea funciones de vigilancia del sistema muy detalladas. Adems, Gauss contiene una carga explosiva de 64 bits, y complementos compatibles con el navegador Firefox, diseados para robar y monitorizar datos de los clientes de muchos bancos libaneses: Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank y Credit Libanais. Tambin ataca a los usuarios de Citibank y PayPal. De hecho, esta es la primera vez que vemos una campaa de ciberespionaje con un componente de troyano bancario. No se sabe si los operadores estn transfiriendo fondos de las cuentas bancarias de la vctima o si slo estn monitorizando las fuentes de finanzas/financiamiento de blancos especfico

http://www.viruslist.com/sp/weblog?weblogid=208188666

Este malware es una variante del arma ciberntica destinada a retrasar la capacidad de Irn para fabricar bombas nucleares, Stuxnet.

Duqu estara escrito en lenguaje C y compilado con el Visual Studio 2008 de Microsoft, aunque incluira una extensin personalizada conocida como OO C para combinar programacin orientada a objetos con C. Por el lenguaje empleado, los investigadores aseguran que Duqu fue escrito por un programador o equipo profesional de la vieja escuela que no confan en compiladores como C++. Adems, C, es altamente portable a otras plataformas, un plus para un troyano malicioso. en Israel, para piratear, sabotear y retrasar la capacidad de Irn para fabricar bombas atmicas. Un virus que lleg a infectar miles de equipos en 155 pases http://www.muycomputer.com/2012/03/21/el-troyano-duqu-al-descubierto

"El propsito de Duqu es recopilar informacin de inteligencia y de los activos de entidades como fbricas de sistemas de control industrial para ejecutar ms fcilmente ataques contra terceras partes en el futuro" Duqu no est diseado para atacar sistemas industriales, como sucedi con Stuxnet y las instalaciones nucleares iranes, sino para reunir informacin de inteligencia con miras a un ataque futuro. De acuerdo con Symantec, los atacantes estn buscando informacin como documentos de diseo que podran ayudarlos a organizar un atraque. http://www.bbc.co.uk/mundo/noticias/2011/10/111020_tecnologia_duqu_sotware_malicioso_m r.shtml