El Proyecto Elderwood nace a raíz de una campaña llevada a cabo por Symantec por motivo de los ataques de alto perfil originados en el año 2009 en el que se divulgó un virus troyano llamado Hydraq (Aurora) por lo que se empezaron a monitorear de forma consistente durante estos últimos 3 años y que han estado orientado a varias industrias.
Estos ataques han utilizado una gran cantidad de exploits de día cero con lo que tienen en la mira no solo una empresa como objetivo sino que también se han incluído las empresas que abastecen con suministros a las primeras.
Los ataques reutilizan elementos de la infraestructura conocida como “Plataforma Elderwood” y que está relacionada con las comunicaciones usadas por los ataques. La metodología de los mismos consiste en utilizar el correo electrónico como un medio de spear phishing, a los que últimamente se han agregado ataques de watering hole, con lo que se compromete a ciertos sitios web que son visitados por las empresas que son el objetivo de estos ataques.
Sin embargo, se ha notado recientemente que existen cuatro vulnerabilidades que han sido usadas por los atacantes Elderwood con lo que el número de exploits de día cero que se registran se refieren al acceso a un alto nivel de capacidad técnica.
En el desarrollo de esta investigación se concluye en que ningún otro tipo de grupo ha utilizado más vulnerabilidades de día cero para alcanzar sus ogjetivos maliciosos tanto como los atacantes responsables de los ataques Hydraq. Además se han descubierto otros aspectos claves en dicha investigación los que te detallamos a continuación:
- El grupo responsable por los atacantes Hydraq se encuentra activo con lo que se indica su participación consistentemente en ataques dirigidos a gran escala.
- Los sectores que son los objetivos principales de los ataques Hydraq se encuentran la industria de la defensa, los derechos humanos, organizaciones no gubernamentales y los proveedores de servicios TI.
- En lo que se registra desde el inicio de estos ataques, una gran cantidad de víctimas, su duración y el robo de propiedad intelectual de los ataques, son aspectos que no dejan lugar a dudas de que los responsables de tales ataques pertenecen a una gran organización criminal.
Con esto los fabricantes que están en la cadena de suministros deben tener mucho cuidado con los ataques que vienen de subsidiarias,socios comerciales y empresas asociadas porque este grupo puede verse afectado y ser usados como intermediarios para llegar a las empresas que sean los objetivos para dichos ataques.
En lo que se refiere a un futuro próximo, es decir, para el año 2013, las empresas deberán prepararse, especialmente las que ya han sido afectadas.
Si quieres más información al respecto, te dejamos a continuación una serie de enlaces desde donde puedes conocer más detalladamente sobre este problema.
Infografía: Proyecto Elderwood
Reporte: Proyecto Elderwood
Blog oficial: Symantec