(Actualización 20/02/2013: Nuevas reglas añadidas)
Como seguramente muchos de ustedes sepan a estas alturas, la empresa de seguridad digital Mandiant ha emitido un informe donde acusa al Ejército Popular de Liberación chino de estar detrás de multitud de ataques que diversas compañías, tanto estadounidenses como de otras nacionalidades, han venido sufriendo en los últimos años.
En dicho informe, que está accesible desde su web, se proporcionan una gran variedad de detalles técnicos y el conjunto de evidencias que apoyan la teoría de que el gobierno chino está efectivamente detrás de esos ataques, tal y como se ha ido defendiendo durante los últimos años. Aunque algunos técnicos apuntan a sesgos analíticos en el estudio desarrollado por Mandiant (Mandiant APT1 Report Has Critical Analytic Flaws), creo que no cabe duda de que de ser cierto que China tiene programas de espionaje cibernético a través de Internet, eso no sorprendería a nadie. De igual manera que a nadie le sorprendería, tal y como apunta @antoniosanzalc en Twitter, que otras potencias militares como Israel o EEUU tuvieran ya en marcha desde hace años programas de espionaje cibernético. Es más, casi podríamos decir que sería una imprudencia no tenerlos. Al fin y al cabo, si existen espías a pie de campo, no hay razón para no tenerlos también en la red.
Volviendo al informe de Mandiant, los anexos incorporan información que podrían ayudar a detectar sistemas u organismos infectados, ya sea por la conexión con sistemas DNS, uso de certificados SSL u otros. Aunque es posible que tras la publicación del informe siempre que la información y conclusiones de Mandiant sean ciertas se produzca una reducción temporal drástica de los sistemas y recursos empleados en los ataques, a partir de la información de dichos anexos hemos creado un conjunto de firmas de Snort que pueden ayudar a identificar circunstancias y destinos de conexión sospechosos, y que pueden descargar del enlace a continuación.
Reglas Snort Informe Mandiant: apt1-unit61398.rar
Las firmas han sido elaboradas a partir de los anexos del informe de Mandiant por el Área de Seguridad de S2 Grupo y más concretamente por Roberto Amado y Raúl Rodríguez. Para cualquier comentario, duda, información o consulta, pueden utilizar los comentarios o ponerse en contacto con nosotros en admin@securityartwork.es.
Tengan en cuenta que no nos hacemos responsables de cualquier consecuencia no deseada (incremento de las alertas, etc.) derivada de la utilización de estas firmas, y que su uso corre por su propia cuenta y riesgo.