Saltar al contenido.

Operación Medre : Espionaje industrial en el Perú

junio 24, 2012

El pasado 21 de junio, salio a la luz una noticia ha tenido mucho revuelo en el medio de la seguridad en  Perú, y es la alta propagación de un código malicioso (malware/virus) , que tiene como objetivo realizar robo de información, específicamente de archivos de AutoCaD , el código identificado como ACAD/MEDRE , es ahora considerado en el medio, como un ataque de espionaje industrial, ya que según el laboratorio de malware de ESET , el código esta activo desde el 2009 , y se presume el robo de alrededor de 10,000 mil  archivos entre planos y proyectos en formato Autocad de empresas del Perú.

Aquí un análisis mas detallado realizado por  ESET : http://www.eset-la.com/centro-prensa/articulo/2012/operaci%C3%B3n-medre-m%C3%A1s-mil-proyectos-robados-supuesto-caso-ciberespionaje%20%20/2779

El día de hoy en la lista de LimaHack ( limahack@googlegroups.com), se pudo obtener una muestra del virus , y por cortesía de Nox @NoxOner   y Cesar Neira  , pudieron realizar el desensamblado el mismo, el cual lo pueden descargar desde aqui :  DeMedre , (descargar y cambiar la extención a zip), si les interesa analizarlo.

DeMedre.zip contiene los siguientes archivos:

acad.fas.fct
acad.fas.key (Supongo que la key para descifrar)
acad.fas.res
acad.fas.txt (Desensamblado)
acad.fas_.lsp (Decompilado)

Una búsqueda reciente (realizada por @John_Vargas) indica la existencia del codigo desde el año 2008 en algunos foros chinos :

http://blog.163.com/lulinhua520@126/blog/static/89962316200892852128573/

http://forums.augi.com/showthread.php?78055-dwgrun-Virus-using-acad-fas

http://about-threats.trendmicro.com/ArchiveMalware.aspx?language=us&name=ALS_CHENGWA.A

Actualmente en la lista, se esta moviendo mucho el tema, y esperamos tener mas información al respecto, finalmente, esto lo que hace , es  solo mostrar que el Criber-espionaje  existe y que ningún país es ajeno a esta realidad, por lo cual es necesario, tener los recaudos necesarios para identificar este tipo de patrones maliciosos.

Espero les sirva la información.

Actualización 27/06/2012
Este es un completo análisis al malware  aplicando ingeniería inversa realizado por  ‏@NoxOner un buen amigo de la comunidad de LimaHack

Parte 1 : http://www.noxsoft.net/2012/06/analisis-malware-acad-medre-parte1/
Parte 2 : http://www.noxsoft.net/2012/06/analisis-malware-acadmedre-parte-2/

About these ads
Un Comentario
  1. Hola Juan, sip estamos analizando esto y haremos un escrito Cesar y Yo espero que sea más pronto de lo que imaginamos, así que en la lista de LimaHack serán los primeros en saberlo.

    Saludos,
    Nox.

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 91 seguidores

%d personas les gusta esto: