Kaspersky encuentra un nuevo APT dirigido al sector industrial del Medio Oriente


fábrica de gas planta de petróleo ICS SCADA

Imagen vía Robin Sommer.

Característica especial

La ciberguerra y el futuro de la ciberseguridad

Las amenazas a la seguridad de hoy se han ampliado en alcance y seriedad. Ahora puede haber millones, o incluso miles de millones, de dólares en riesgo cuando la seguridad de la información no se maneja adecuadamente.

Lee mas

Kaspersky, una de las firmas de seguridad más importantes del mundo, dijo hoy que descubrió un nuevo y nunca antes visto grupo de hackers que actualmente apunta a organizaciones del sector industrial del Medio Oriente.

La empresa de seguridad ha nombrado a este grupo. WildPressure y lo explain como una APT (amenaza persistente avanzada), un término normalmente utilizado para describir las operaciones de piratería patrocinadas por la nación.

El arma principal del grupo es un nuevo troyano de puerta trasera C ++ que Kaspersky ha nombrado Milum, y que otorga a los operadores WildPressure un regulate completo sobre un host infectado.

Los expertos de Kaspersky dicen que descubrieron por primera vez computadoras infectadas con Milum en agosto de 2019, pero luego encontraron signos de infecciones pasadas desde el 31 de mayo de 2019.

Un análisis del código de Milum También confirmó que Milum se compiló dos meses antes, en marzo de 2019, lo que explica por qué Kaspersky no pudo detectar infecciones más antiguas.

Sin código compartido o victimología con ninguna otra operación

Además, el mismo análisis también reveló que Milum estaba formado por un código relativamente nuevo, sin intersecciones o similitudes con ninguna otra operación APT.

«Nuestro motor de atribución de amenazas Kaspersky (KTAE) no muestra similitudes de código con campañas conocidas», dijo Denis Legezo, investigador de malware de Kaspersky Excellent, el equipo de élite de caza de hackers de la compañía.

«Tampoco hemos visto ninguna intersección objetivo», dijo Legezo. «De hecho, encontramos solo tres muestras casi únicas, todas en un solo país».

Ese pais es iran, según una captura de pantalla que Kaspersky compartió hoy, que muestra las direcciones IP iraníes conectadas a un servidor de comando y handle (C&C) de Milum que sus investigadores lograron hundir en septiembre de 2019.

milum-sinkhole.png "src =" https://zdnet4.cbsistatic.com/hub/i/2020/03/24/efb55c52-eb9d-422c-8083-a1e58c55b21c/milum-sinkhole.png

Imagen: Kaspersky

Esta no es la primera vez que un grupo APT ha atacado a Irán en el pasado. El incidente de Stuxnet sigue siendo hasta el día de hoy uno de los ataques más infames de la historia: una operación conjunta llevada a cabo por Estados Unidos e Israel para sabotear las capacidades nucleares de Irán.

En basic, las operaciones de ciberespionaje en el Medio Oriente también han estado bastante activas durante el año pasado. Desde la filtración de las herramientas de piratería de Irán hasta el despliegue de nuevas cepas destructivas de malware que borran datos, siempre está sucediendo algo en la región y, en muchos incidentes, los ataques se han dirigido al sector industrial community, y especialmente a los campos de petróleo y gasoline.





Enlace a la noticia first