Lo último en amenazas a la seguridad son los grupos de
cibermercenarios que realizan ataques rápidos y precisos para robar
información confidencial de empresas y gobiernos.
Los
cibermercenarios están detrás de los ataques informáticos más recientes.
Son profesionales altamente cualificados que ejecutan golpes rápidos y
precisos contra organizaciones empresariales y gubernamentales. Hacen
trabajos por encargo para robar información sensible de objetivos de
alto nivel. Realizan operaciones de ciberespionaje empleando
herramientas informáticas a medida. Operan de forma independiente en
equipos con reparto de tareas, y entre sus clientes figuran tanto
gobiernos como empresas.
Pequeños grupos de cibermercenarios
especializados en asaltos relámpago son la última tendencia de las
amenazas de seguridad. Infectan los sistemas informáticos con códigos
maliciosos (malware). Localizan y copian la información con
precisión quirúrgica. Los ataques duran unos días o unas semanas y, en
cuanto consiguen los datos deseados, se marchan. Su campo de operaciones
es mundial y abarca cualquier fuente de información valiosa para
aquellos que los contratan.
De todos modos, los objetivos más castigados están relacionados con
las finanzas, las tecnologías de información y comunicación, los
gobiernos, los operadores de telecomunicaciones y los medios de
comunicación. También están interesados en los suministradores de la
industria de defensa. Los últimos grupos descubiertos (Icefog y Hidden
Lynx) actúan desde Asia, principalmente desde China.
Icefog, la campaña contra proveedores sucoreanos y japoneses
Icefog
es un grupo de cibermercenarios que atacan a los suministradores de
empresas occidentales en Corea del Sur y Japón. Su origen se remonta al
año 2011, como mínimo, y sus actividades han aumentado recientemente.
Expertos de la compañía de seguridad Kaspersky Lab
descubrían su existencia cuando investigaban una muestra de mensaje de
correo eléctronico con un adjunto infectado, enviada por la cadena de
televisión japonesa Fuji TV. Durante el análisis, detectaron que era una
nueva versión del código malicioso empleado durante al ataque al
Parlamento Japonés en 2011.
Icefog funciona como una puerta
trasera de espionaje directamente controlada por los cibermercenarios
mediante un troyano de acceso remoto. La herramienta no extrae los datos
automáticamente, sino que los atacantes operan manualmente y a
distancia sobre el sistema infectado. La vía de distribución es mediante
mensajes de correo electrónico que contienen un fichero adjunto con malware o un enlace a un sitio web malicioso; es la llamada técnica de phising. Si el destinatario del e-mail abre el adjunto o hace clic en el enlace, el ordenador de la víctima queda infectado.
El modus operandi de Icefog consiste en montar un servidor de mando y control, crear un malware que
lo use, y distribuirlo para infectar el ordenador de la víctima. Luego
se comunican con el ordenador infectado, roban la información y se
marchan. Por ahora, se les atribuye la autoría de una veintena de
ataques entre 2011 y julio de 2013, de los cuales la mitad se han
producido durante este año. Las operaciones duran una media de dos
semanas.
Los miembros de Icefog saben bien lo que buscan; identifican
rápidamente los ficheros, los archivan y los transfieren al servidor de
mando y control. Si un archivo es demasiado grande, lo comprimen antes
de enviarlo. Su sello distintivo es un centro de mando de control con
una interfaz gráfica fácil de usar. Les gusta trabajar cómodos con
monitores de alta resolución. La banda opera desde al menos tres países:
China, Corea del Sur y Japón. Los servidores de mando y control
localizados que todavía funcionan mantienen registros cifrados con
historiales sobre las víctimas y las operaciones realizadas.
El
botín contiene tres tipos de datos robados: claves de cuentas de correo
electrónico, contraseñas de diversos recursos dentro y fuera de la red
de la víctima, y documentos confidenciales con planes corporativos. Hay
más de 4.000 direcciones IP infectadas, más de 350 víctimas con
ordenadores Mac OS X y unas docenas de víctimas con equipos Windows,
según Kaspersky Lab, que reconoce que sólo es una parte.
Además, se sospecha de la existencia de una variante del malware Icefog
para Android. Los objetivos están radicados en Corea del Sur, Taiwán y
Japón, pero que están relacionados con empresas y gobiernos
estadounidenses y europeos. Son instituciones gubernamentales,
contratistas militares, constructores navales, operadores de
telecomunicaciones y vía satélite, compañías industriales y de alta
tecnología, y medios de comunicación.
Hidden Lynx, operaciones simultáneas contra empresas y gobiernos
Hidden
Lynx es un grupo metódico y con habilidades claramente superiores a las
de otros que operan desde Asia. Es una organización profesional bien
financiada, formada por entre cincuenta y cien miembros, según los
expertos de la compañía de seguridad Symantec,
que han rastreado su infraestructura de ataque y sus herramientas hasta
China. En activo desde hace cuatro años, están involucrados en la
Operación Aura de 2009, contra Google y diversos medios de comunicación.
Muy
eficientes y adaptables, son capaces de atacar en varios frentes
simultáneamente. Han penetrado los sistemas de centenares de
organizaciones de todo el mundo. Roban información especifica y valiosa
que proporciona ventajas competitivas a empresas y países.
Sus objetivos son muy variados, tanto por sectores como por países.
Presenta un largo historial de ataques contra la industria de defensa de
países occidentales, aunque actualmente sus intereses se centran en
organizaciones surcoreanas. En el área del espionaje corporativo,
destacan sus trabajos para sustraer información confidencial en épocas
de fusiones y adquisiciones. Sus víctimas finales son bancos de
inversión y agentes bursátiles. Cuando no es posible abordarlos
directamente, atacan a proveedores de hardware, comunicaciones y servicios específicos para el sector financiero.
Los
proveedores de los gobiernos también están en su punto de mira. Ya sean
de la administración local o nacional, los contratistas
gubernamentales, sobre todo los de defensa, son una golosa fuente de
información para gobiernos extranjeros. Ejecutan operaciones de
contrainteligencia por encargo dirigidas a apropiarse de tecnologías
avanzadas, como las aeroespaciales.
VOHO es la campaña de Hidden Lynx más notoria, descubierta por la compañía de seguridad RSA. Mediante ataques combinados, infectaba más de 4.000 ordenadores en menos de un mes. La técnica empleada, llamada de abrevadero,
es novedosa. Se infiltran en una decena de sitios web, frecuentados por
potenciales víctimas. Igual que un león a la sombra, esperan la visita
de sus presas.
Entre el 25 de junio y el 18 de julio de 2012, dos
equipos separados e independientes se reparten las tareas. Uno se ocupa
de la industria de la defensa, logrando infectar con el troyano Naid
tres organizaciones. Para distribuir el malware primero
explotan una vulnerabilidad del navegador Internet Explorer. En cuanto
que Microsoft la parchea, buscan otro método. Atacan la empresa Bit9,
que emite certificados de seguridad, y los usan para firmar su troyano
Naid y saltarse los controles.
El otro equipo, armado con el
troyano de puerta trasera Mourdoor, ejecuta un ataque masivo contra
varios sectores: finanzas, inversión, gubernamental, sanidad,
ingeniería, educación, legal e incluso medios de comunicación. Una vez
abierta la brecha, la avanzadilla se retira para dar paso a una fuerza
más numerosa, formada por decenas de operarios, según Symantec, que
revisan los sistemas comprometidos para saquear información.
Los
cibermercenarios de Icefog y Hidden Lynx todavía siguen en activo,
alquilando sus refinadas habilidades al mejor postor, aunque tras sus
pasos estén la Interpol y agencias de seguridad de diversos países.
0 comentarios:
Publicar un comentario