Han pasado dos meses desde que sucedió la intrusión a la OPM y ha habido mucha especulación y fuga de detalles del ataque. A continuación presentamos un resumen de la información publicada hasta el momento.
4 de junio de 2015: La OPM anuncia que ha sufrido una intrusión.
8 de junio de 2015: Guidance Software anuncia que EnCase ha sido usado en la investigación de la OPM. Paul Shomo, Administrador Senior de Desarrollo de Software en Guidance Software, ha sido citado por SC MAGAZINE insinuando que el troyano de acceso remoto (RAT) PlugX fue utilizado por los atacantes de la OPM.
15 de junio de 2015: ThreatConnect reconoce instancias de malware presentadas a VirusTotal utilizando nombres de dominio falsos de la OPM, enviadas al momento de una intrusión previa a la OPM durante 2014. ThreatConnect teoriza que "Destroy RAT aka Sogu", también llamado “PlugX” en algunas bases de datos de inteligencia de amenazas, fue utilizado en este último ataque a la OPM.
18 de junio de 2015: Ellen Nakashima comenta en un blog del Washington Post que el “malware descubierto en la OPM era una variante nunca antes vista del malware conocido como PlugX. ”
27 de junio de 2015: USA Today reporta que la intrusión a la OPM habría iniciado con una credencial robada usada por Key Point Government Solutions, un contratista con sede en Colorado que la OPM utiliza para llevar a cabo investigaciones de antecedentes.
29 de junio de 2015: FCW da cuenta de que el día después de la divulgación por la OPM, una alerta rápida del FBI detalla una invasión a una agencia gubernamental sin dar su nombre y que los actores de amenaza observados utilizan 4 RAT: Sakula, FF RAT, Trojan.IsSpace y Trojan.BLT. FCW especula que el FBI se está refiriendo a la OPM. Tenga en cuenta que SAKULA también se menciona en el informe de 15 de junio de ThreatConnect. Similar a las variantes de PlugX destacadas por ThreatConnect, SAKULA fue construído para utilizar nombres de dominios falsos de la OPM.
8 de julio de 2015: El jefe del departamento de seguridad nacional de Estados Unidos hace una afirmación vaga de haber reducido los posibles atacantes de la OPM. Tenga en cuenta que esta información se lanza exclusivamente en la Voz de América, el poco conocido medio de comunicación del gobierno estadunidense.
29 de julio de 2015: Un reporte de Bloomberg muestra una clara conexión entre los atacantes de la OPM y los atacantes de United Airlines y de Anthem. El reporte considera que estos atacantes chinos tienen como intención principal recolectar la información de ciudadanos estadunidenses que trabajan para el gobierno.
Como un asunto de seguridad nacional de los Estados Unidos, es concebible que nunca podamos conocer los detalles del malware utilizado en contra de la OPM. En todo caso, todos los datos apuntan a dos RAT : PlugX y Sakula, ambos aparentemente construidos por autores chinos específicamente para apuntar a la OPM.
TEMAS RELACIONADOS
La invasión a la OPM: qué se está haciendo correctamente
Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español
El Hack a la OPM: Indicios de una invasión mediante herramientas de administración remota
Dé un "Me Gusta" a Nuestra Página en Facebook
Guidance Software anuncia el lanzamiento de EnCase Endpoint Security
No hay comentarios :
Publicar un comentario