Amplia operación de piratería descubierta en Kazajstán


El vendedor chino de ciberseguridad Qihoo 360 publicó un informe el viernes que expone una extensa operación de piratería dirigida al país de Kazajstán.

Los objetivos incluyeron individuos y organizaciones que involucran a todos los ámbitos de la vida, como agencias gubernamentales, particular militar, diplomáticos extranjeros, investigadores, periodistas, empresas privadas, el sector educativo, figuras religiosas, disidentes del gobierno y diplomáticos extranjeros por igual.

La campaña, dijo Qihoo 360, fue amplia y parece haber sido llevada a cabo por un actor de amenazas con recursos considerables, y uno que tenía la capacidad de desarrollar sus herramientas privadas de piratería, comprar software package espía caro en el mercado de vigilancia e incluso invertir en radio. hardware de interceptación de comunicaciones.

Las señales apuntan a que algunos ataques se basan en el envío de correos electrónicos cuidadosamente diseñados con archivos adjuntos maliciosos (phishing), mientras que otros se basan en obtener acceso físico a los dispositivos, lo que sugiere el uso de operativos en el terreno desplegados en Kazajstán.

Conoce a Golden Falcon

Los investigadores de Qihoo nombraron al grupo detrás de esta extensa campaña Golden Falcon (o APT-C-34). El vendedor de seguridad chino afirmó que el grupo era nuevo, pero cuando ZDNet contactó a Kaspersky, nos dijeron que Golden Falcon parece ser otro nombre para DustSquad, una entidad de ciberespionaje que ha estado activa desde 2017.

El único informe que detalla sus operaciones de piratería anteriores se remonta a 2018 cuando se vio que utilizaba correos electrónicos de phishing que conducen a los usuarios a una versión de Telegram con malware.

Al igual que los ataques documentados por Qihoo esta semana, los ataques de 2018 también se centraron en Kazajstán, pero habían utilizado una variedad de malware diferente.

El nuevo informe de Qihoo se basa principalmente en datos que la compañía china obtuvo después de obtener acceso a uno de los servidores de comando y control (C&C) de Golden Falcon, desde donde recuperaron datos operativos sobre las actividades del grupo.

Aquí, la firma china dijo que encontró datos recuperados de víctimas infectadas. Los datos recopilados involucraron principalmente documentos de oficina, tomados de computadoras pirateadas.

Toda la información robada se organizó en carpetas por ciudad, y cada carpeta de la ciudad contenía datos de cada host infectado. Los investigadores dijeron que encontraron datos de víctimas ubicadas en Kazajstán, las 13 ciudades más grandes y más.

gf-kazachstan-map.png

Imagen: Qihoo 360

Los datos se cifraron, pero los investigadores dijeron que pudieron descifrarlos. En el interior, también encontraron evidencia de que Golden Falcon también estaba espiando a ciudadanos extranjeros en el país, con Qihoo nombrando a estudiantes internacionales chinos y diplomáticos chinos como objetivos.

Herramientas de piratería costosas

Los archivos en el servidor de C&C revelaron qué tipos de herramientas de hackeo estaba usando este grupo. Se destacaron dos herramientas. La primera fue una versión de RCS (Remote Command Method), un kit de vigilancia vendido por el proveedor italiano HackingTeam. El segundo fue un troyano de puerta trasera llamado Harpoon (Garpun en el idioma ruso) que parece haber sido desarrollado por el propio grupo.

Con respecto a su uso de RCS, lo que se destacó fue que Golden Falcon estaba usando una nueva versión de RCS. El número de versión de RCS es importante porque, en 2015, un pirata informático violó y luego filtró todos los archivos internos del HackingTeam, incluido el código fuente de RCS.

En ese momento, el número de versión de RCS era 9.6. Según Qihoo, el número de versión para las instancias de RCS que encontraron en posesión de Golden Falcon era 10.3, una versión más nueva, lo que significa que el grupo probablemente compró una versión más nueva de su distribuidor.

Pero Golden Falcon también estaba en posesión de otra herramienta potente. Qihoo dice que el grupo estaba usando una puerta trasera única que no se había visto fuera de las operaciones del grupo y que probablemente period su propia creación.

El vendedor chino dijo que obtuvo una copia del handbook de esta herramienta. No está claro si encontraron el manual en el servidor de C&C del grupo, o si lo obtuvieron de otra fuente. Sin embargo, el guide muestra una herramienta bien desarrollada con un gran conjunto de características, a la par de muchos de los mejores troyanos de puerta trasera existentes en la actualidad.

gf-harpoon.png "height =" auto "width =" 370 "src =" https://zdnet2.cbsistatic.com/hub/i/r/2019/11/23/724e99dd-c10c-492c-bc8d-c2c594452dac /resize/370xauto/dbaed6d68fa1fa7e6076b8bf28fc8553/gf-harpoon.png

Imagen: Qihoo 360

Las características incluyen:

  • Keylogging
  • Robar datos del portapapeles
  • Tome una captura de pantalla de la ventana activa a intervalos predeterminados
  • Listar el contenido de un directorio dado
  • Obtenga el nombre de usuario de Skype, la lista de contactos y el historial de mensajes de chat
  • Obtenga contactos y grabaciones de voz de Skype y Google Hangouts
  • Grabe sonido a través del micrófono, escuchando a escondidas
  • Copie un archivo especificado de la computadora de destino
  • Copie automáticamente archivos de medios extraíbles
  • Almacene todos los datos interceptados en un archivo de datos cifrados, dentro de un directorio especificado
  • Enviar datos robados a un servidor FTP especificado
  • Ejecute un programa o comando del sistema operativo
  • Descargar archivos de un FTP determinado a un directorio específico
  • Reconfigurar y actualizar componentes de forma remota
  • Recibe archivos de datos de un FTP determinado y extrae automáticamente los archivos a un directorio específico
  • Automobile destrucción

La mayoría de las características enumeradas anteriormente son la norma para la mayoría de los troyanos de puerta trasera de alto nivel, que generalmente se encuentran en el ciberespionaje a nivel de estado-nación.

Malware móvil

Pero los investigadores de Qihoo también encontraron archivos adicionales, como contratos, supuestamente firmados por el grupo.

Es importante señalar que los grupos de ciberespionaje no dejan contratos en los servidores de C&C. No está claro si estos contratos se encontraron en el servidor de C&C de Golden Falcon, o si se recuperaron de otras fuentes. Qihoo no dijo.

Uno de estos contratos parece ser para la adquisición de un kit de herramientas de vigilancia móvil conocido como Pegasus. Esta es una poderosa herramienta de piratería móvil, con versiones de Android e iOS, vendida por NSO Team.

El contrato sugiere que Golden Eagle, al menos, mostró interés en adquirir las herramientas de vigilancia de Android e iOS de NSO. No está claro si el contrato se completó alguna vez con una venta, ya que Qihoo no encontró ninguna evidencia de Pegasus de NSO más allá del contrato.

gf-nso.png "height =" auto "width =" 370 "src =" https://zdnet1.cbsistatic.com/hub/i/r/2019/11/23/8ecc3bb3-9aed-44e5-9dd8-aef3269d2cb1 /resize/370xauto/2c33b21d7a2d4918730b7b6f8401e77d/gf-nso.png

Imagen: Qihoo 360

De cualquier manera, Golden Eagle tenía capacidades de piratería móvil. Esta capacidad se proporcionó a través del malware de Android suministrado por HackingTeam.

Qihoo dijo que el malware que analizaron incluía 17 módulos con características que van desde la escucha de audio hasta el seguimiento del historial del navegador y desde el robo de registros de chat de mensajería instantánea hasta el seguimiento de la ubicación geográfica de la víctima.

Hardware de interceptación de radio

Un segundo conjunto de contratos mostró que Golden Falcon también había adquirido equipo de Yurion, un contratista de defensa con sede en Moscú que se especializa en monitoreo de radio, escuchas y otros equipos de comunicaciones.

Una vez más, Qihoo solo compartió detalles sobre la existencia del contrato, pero no pudo decir si el equipo fue comprado o utilizado, ya que tales capacidades van más allá de las herramientas a disposición de una compañía de program de seguridad standard.

gf-yurion.png "height =" auto "width =" 370 "src =" https://zdnet3.cbsistatic.com/hub/i/r/2019/11/23/031efbfb-f8b6-4a20-8e8a-cfdcd3d2feb2 /resize/370xauto/572c254329fd71f58720aa3832f7be4e/gf-yurion.png

Imagen: Qihoo 360

Rastreando miembros?

La firma china de seguridad cibernética también dijo que rastreó a varios miembros de Golden Falcon a través de detalles que se dejan en las firmas digitales legales, supuestamente encontradas dentro de los contratos que descubrieron.

Los investigadores dijeron que rastrearon a cuatro miembros de Golden Falcon y una organización.

Utilizando datos que no fueron censurados en una captura de pantalla compartida por Qihoo, pudimos rastrear a uno de los miembros del grupo a un perfil de LinkedIn perteneciente a un programador basado en el área de Moscú que la firma china describió como «un ingeniero técnico» para Golden Falcon.

Sin atribución oficial, pero con muchas teorías

Ni Qihoo ni Kaspersky, en su informe de 2018, hacen ninguna atribución formal para este grupo. El único detalle que los dos compartieron fue que se trataba de una APT de habla rusa (amenaza persistente avanzada, un término técnico utilizado para describir unidades de piratería avanzadas respaldadas por el estado nacional).

Durante la investigación de este artículo, ZDNet solicitó a algunos analistas sus opiniones. Las teorías más comunes que escuchamos fueron que esto «parece» ser (1) un APT ruso, (2) una agencia de inteligencia kazaja que espía a sus ciudadanos, (3) un grupo mercenario ruso que espía a pedido para el gobierno kazajo – – siendo las dos últimas la respuesta más común.

Sin embargo, debe tenerse en cuenta que estos argumentos son subjetivos y no se basan en ninguna prueba sustancial real.

El uso del software program de vigilancia HackingTeam y la investigación sobre la compra de capacidades de piratería móvil del Grupo NSO muestran que esto podría ser, de hecho, una agencia de aplicación de la ley autorizada. Sin embargo, Qihoo también señaló que algunos de los objetivos / víctimas de esta campaña de piratería también eran funcionarios del gobierno chino en el noroeste de China, lo que significa que si se trataba de una agencia de aplicación de la ley de Kazajstán, sobrepasaron seriamente su jurisdicción.

El informe Qihoo Golden Falcon está disponible aquí, en chino y aquí, traducido con Google Translate. El informe contiene información técnica adicional sobre el malware utilizado en estos ataques, información que no incluimos en nuestra cobertura porque period demasiado técnica.





Supply hyperlink

Be the first to comment

Leave a Reply

Tu dirección de correo no será publicada.


*