Pin It

Security

Lo último en amenazas a la seguridad son los grupos de cibermercenarios que realizan ataques rápidos y precisos para robar información confidencial de empresas y gobiernos.

Los cibermercenarios están detrás de los ataques informáticos más recientes. Son profesionales altamente cualificados que ejecutan golpes rápidos y precisos contra organizaciones empresariales y gubernamentales. Hacen trabajos por encargo para robar información sensible de objetivos de alto nivel. Realizan operaciones de ciberespionaje empleando herramientas informáticas a medida. Operan de forma independiente en equipos con reparto de tareas, y entre sus clientes figuran tanto gobiernos como empresas. 



Pequeños grupos de cibermercenarios especializados en asaltos relámpago son la última tendencia de las amenazas de seguridad. Infectan los sistemas informáticos con códigos maliciosos (malware). Localizan y copian la información con precisión quirúrgica. Los ataques duran unos días o unas semanas y, en cuanto consiguen los datos deseados, se marchan. Su campo de operaciones es mundial y abarca cualquier fuente de información valiosa para aquellos que los contratan.

De todos modos, los objetivos más castigados están relacionados con las finanzas, las tecnologías de información y comunicación, los gobiernos, los operadores de telecomunicaciones y los medios de comunicación. También están interesados en los suministradores de la industria de defensa. Los últimos grupos descubiertos (Icefog y Hidden Lynx) actúan desde Asia, principalmente desde China. 

Icefog, la campaña contra proveedores sucoreanos y japoneses

Icefog es un grupo de cibermercenarios que atacan a los suministradores de empresas occidentales en Corea del Sur y Japón. Su origen se remonta al año 2011, como mínimo, y sus actividades han aumentado recientemente. Expertos de la compañía de seguridad Kaspersky Lab descubrían su existencia cuando investigaban una muestra de mensaje de correo eléctronico con un adjunto infectado, enviada por la cadena de televisión japonesa Fuji TV. Durante el análisis, detectaron que era una nueva versión del código malicioso empleado durante al ataque al Parlamento Japonés en 2011.

Icefog funciona como una puerta trasera de espionaje directamente controlada por los cibermercenarios mediante un troyano de acceso remoto. La herramienta no extrae los datos automáticamente, sino que los atacantes operan manualmente y a distancia sobre el sistema infectado. La vía de distribución es mediante mensajes de correo electrónico que contienen un fichero adjunto con malware o un enlace a un sitio web malicioso; es la llamada técnica de phising. Si el destinatario del e-mail abre el adjunto o hace clic en el enlace, el ordenador de la víctima queda infectado. 

El modus operandi de Icefog consiste en montar un servidor de mando y control, crear un malware que lo use, y distribuirlo para infectar el ordenador de la víctima. Luego se comunican con el ordenador infectado, roban la información y se marchan. Por ahora, se les atribuye la autoría de una veintena de ataques entre 2011 y julio de 2013, de los cuales la mitad se han producido durante este año. Las operaciones duran una media de dos semanas.

Los miembros de Icefog saben bien lo que buscan; identifican rápidamente los ficheros, los archivan y los transfieren al servidor de mando y control. Si un archivo es demasiado grande, lo comprimen antes de enviarlo. Su sello distintivo es un centro de mando de control con una interfaz gráfica fácil de usar. Les gusta trabajar cómodos con monitores de alta resolución. La banda opera desde al menos tres países: China, Corea del Sur y Japón. Los servidores de mando y control localizados que todavía funcionan mantienen registros cifrados con historiales sobre las víctimas y las operaciones realizadas. 
El botín contiene tres tipos de datos robados: claves de cuentas de correo electrónico, contraseñas de diversos recursos dentro y fuera de la red de la víctima, y documentos confidenciales con planes corporativos. Hay más de 4.000 direcciones IP infectadas, más de 350 víctimas con ordenadores Mac OS X y unas docenas de víctimas con equipos Windows, según Kaspersky Lab, que reconoce que sólo es una parte.
Además, se sospecha de la existencia de una variante del malware Icefog para Android. Los objetivos están radicados en Corea del Sur, Taiwán y Japón, pero que están relacionados con empresas y gobiernos estadounidenses y europeos. Son instituciones gubernamentales, contratistas militares, constructores navales, operadores de telecomunicaciones y vía satélite, compañías industriales y de alta tecnología, y medios de comunicación.

Hidden Lynx, operaciones simultáneas contra empresas y gobiernos 

Hidden Lynx es un grupo metódico y con habilidades claramente superiores a las de otros que operan desde Asia. Es una organización profesional bien financiada, formada por entre cincuenta y cien miembros, según los expertos de la compañía de seguridad Symantec, que han rastreado su infraestructura de ataque y sus herramientas hasta China. En activo desde hace cuatro años, están involucrados en la Operación Aura de 2009, contra Google y diversos medios de comunicación.

Muy eficientes y adaptables, son capaces de atacar en varios frentes simultáneamente. Han penetrado los sistemas de centenares de organizaciones de todo el mundo. Roban información especifica y valiosa que proporciona ventajas competitivas a empresas y países.

Sus objetivos son muy variados, tanto por sectores como por países. Presenta un largo historial de ataques contra la industria de defensa de países occidentales, aunque actualmente sus intereses se centran en organizaciones surcoreanas. En el área del espionaje corporativo, destacan sus trabajos para sustraer información confidencial en épocas de fusiones y adquisiciones. Sus víctimas finales son bancos de inversión y agentes bursátiles. Cuando no es posible abordarlos directamente, atacan a proveedores de hardware, comunicaciones y servicios específicos para el sector financiero. 

Los proveedores de los gobiernos también están en su punto de mira. Ya sean de la administración local o nacional, los contratistas gubernamentales, sobre todo los de defensa, son una golosa fuente de información para gobiernos extranjeros. Ejecutan operaciones de contrainteligencia por encargo dirigidas a apropiarse de tecnologías avanzadas, como las aeroespaciales. 

VOHO es la campaña de Hidden Lynx más notoria, descubierta por la compañía de seguridad RSA. Mediante ataques combinados, infectaba más de 4.000 ordenadores en menos de un mes. La técnica empleada, llamada de abrevadero, es novedosa. Se infiltran en una decena de sitios web, frecuentados por potenciales víctimas. Igual que un león a la sombra, esperan la visita de sus presas.

Entre el 25 de junio y el 18 de julio de 2012, dos equipos separados e independientes se reparten las tareas. Uno se ocupa de la industria de la defensa, logrando infectar con el troyano Naid tres organizaciones. Para distribuir el malware primero explotan una vulnerabilidad del navegador Internet Explorer. En cuanto que Microsoft la parchea, buscan otro método. Atacan la empresa Bit9, que emite certificados de seguridad, y los usan para firmar su troyano Naid y saltarse los controles. 

El otro equipo, armado con el troyano de puerta trasera Mourdoor, ejecuta un ataque masivo contra varios sectores: finanzas, inversión, gubernamental, sanidad, ingeniería, educación, legal e incluso medios de comunicación. Una vez abierta la brecha, la avanzadilla se retira para dar paso a una fuerza más numerosa, formada por decenas de operarios, según Symantec, que revisan los sistemas comprometidos para saquear información.

Los cibermercenarios de Icefog y Hidden Lynx todavía siguen en activo, alquilando sus refinadas habilidades al mejor postor, aunque tras sus pasos estén la Interpol y agencias de seguridad de diversos países.




0 comentarios:

Publicar un comentario

 
Top