La historia detrás del hackeo de los ordenadores de empleados de Apple, Facebook

Este último mes empleados de Apple, Facebook y lo que es peor, cientos de compañías mucho menos conocidas pero igualmente afectadas además de usuarios han visto sus ordenadores comprometidos debido a un ataque muy bien organizado que ha aprovechado una vulnerabilidad de Java para implantar malware en ordenadores. Apple reaccionó con relativa prontitud primer bloqueando hasta dos veces el plug-in in de Java para el navegador utilizando el sistema Xprotect para a continuación liberar una actualización para Java 6 mientras que Oracle se encargaba también de lanzar su propia actualización de seguridad para Java 7. Pero, ¿Qué hay detrás de esta historia?.

El vector de infección de toda esta historia fue el conocido foro iPhoneDvSDK.com. Tanto empleados de Facebook como de Apple y otros cientos de compañías son habituales de este sitio web que fue elegido por el/los atacantes como plataforma para desplegar la intrusión. Comprometiendo la contraseña de uno de los administradores, los hackers modificaron la plantilla del CMS para incluir un javascript que hacía una llamada remota a varios servidores que eran los que suministraban el software a los ordenadores de los usuarios que no tenían versiones de Java actualizadas o sus instalaciones de este software no estaban apropiadamente protegidas. El administrador de este sitio web ha publicado una nota al respecto de lo que ha ocurrido en el sitio web, sin dar más detalles al respecto de quien fue el administrador que vio su cuenta comprometida o si además de este ataque se han producido otros con otros diferentes vectores.

El 30 de enero de 2013, el/los Hackers retiraron el ataque de este sitio web, posiblemente no solo para intentar borrar sus huellas sino porque posiblemente también habían obtenido la información que buscaban. El sitio web atacado ha reiniciado todas las contraseñas de los usuarios que deberán utilizar la opción de «contraseña olvidada» para volver a acceder a sus cuentas.

Eric Romang ha publicado un artículo en su Blog en el que realiza una investigación sobre este ataque aunque no indica cuales fueron las vulnerabilidades que fueron aprovechadas por loas atacantes.

Sin embargo este tipo de ataque se ha podido producir a lo largo de múltiples sitios web a lo largo de internet sin el conocimiento de los administradores. La retirada del ataque muestra que los hackers tienen intención de repetir este tipo de intrusiones cada cierto tiempo para obtener más información, lo que implica que los sitios atacados, en general, pueden estar relacionados con espionaje industrial más allá de conseguir los típicos datos de los usuarios en busca de números de tarjetas de crédito u otra información personal.

Java se está convirtiendo, en los últimos meses, en un gran problema de seguridad para todos los usuarios, no solo para Apple. Al ser una plataforma independiente del sistema operativo que lo ejecuta, el desarrollo de vectores de infección  resulta mucho más cómodo ya que un sólo código sirve para todas las plataformas por lo que las vulnerabilidad de Java, especialmente aquellas que permiten la intrusión dentro de un ordenador están muy cotizadas en el mercado negro.

Deja una respuesta