Aumentan las operaciones de APT y ciberdelincuencia de la India



Las crecientes tensiones geopolíticas con China en particular están impulsando un aumento de los ciberataques entre las dos naciones, según IntSights.

Una combinación de factores económicos, políticos y sociales está impulsando un aumento en la actividad de amenazas cibernéticas fuera de la India.

Gran parte de la actividad involucra estafas, esquemas de extorsión en línea, campañas de hacktivistas y la venta de narcóticos y otros bienes ilícitos en línea. Pero también operan fuera del país un puñado de actores de amenazas persistentes avanzadas relativamente sofisticados y grupos de piratas informáticos contratados que se han dirigido a organizaciones en varios países en los últimos años, según un nuevo informe de IntSights.

Investigadores de la firma de inteligencia de amenazas analizaron recientemente cómo las crecientes tensiones geopolíticas y económicas con los vecinos China y Pakistán podrían estar afectando la actividad de las amenazas cibernéticas en India. Como parte de la investigación, IntSights también analizó las tendencias cibernéticas más amplias dentro del país y los factores detrás de ellas.

La investigación mostró una mayor actividad de amenazas cibernéticas entre India y China en medio de crecientes tensiones fronterizas en los últimos meses entre los dos países con armas nucleares. Etay Maor, director de seguridad de IntSights, dice que el potencial de conflicto cinético entre las dos partes está impulsando los esfuerzos para apuntalar las capacidades ciberofensivas dentro de India.

La creación en el país de una nueva Agencia Cibernética de Defensa (DFA) de tres servicios el año pasado que combina fuerzas cibernéticas del ejército, la fuerza aérea y la marina de la India es un ejemplo. La agencia entró en funcionamiento en noviembre pasado y se cree que cuenta con alrededor de 1.000 empleados de los tres servicios. Se le ha encomendado la tarea de desarrollar capacidades para proteger los activos estratégicos indios en el ciberespacio, al mismo tiempo que desarrolla capacidades de guerra cibernética ofensiva.

Según IntSights, la misión del DCA es ser capaz de piratear redes, montar operaciones de vigilancia contra objetivos de importancia estratégica y tender trampas. «La agencia busca construir un laboratorio de última generación que pueda recuperar datos borrados de discos duros y teléfonos celulares, entrar en canales de comunicación encriptados y realizar otros objetivos complejos», dijo IntSights en su informe.

La firma de inteligencia de amenazas identificó tres grupos avanzados de amenazas persistentes (APT) que trabajaban en India. Maor dice que dos de ellos, uno llamado Dropping Elephant y otro llamado Viceroy Tiger, probablemente llevan a cabo campañas patrocinadas por el estado además de actuar de forma independiente. La investigación de IntSight mostró que Dropping Elephant se centra principalmente en objetivos militares y de inteligencia basados ​​en países como China y Pakistán. El grupo también se ha asociado con la actividad de espionaje económico en el pasado.

Las actividades de Viceroy Tiger, como se describe en el informe IntSights, parecen tener un alcance más amplio. Según IntSight, los objetivos del grupo han incluido entidades gubernamentales, militares y civiles en la región y en países como Estados Unidos y Noruega. Maor dice que ambos grupos han tendido a utilizar principalmente una combinación de vulnerabilidades conocidas, exploits, herramientas de malware y tácticas como phishing y spear-phishing en sus campañas.

Tanto el grupo Dropping Elephant como el Viceroy Tiger han existido durante mucho tiempo. Kaspersky, por ejemplo, informó por primera vez sobre Dropping Elephant en 2016 y Crowdstrike informó sobre Viceroy Tiger usando un exploit de día cero en 2013. Aun así, ambos grupos son relativamente desconocidos en comparación con los actores APT respaldados por el estado que operan en países como China, Irán y Corea del Norte, señala Maor. «No podemos decir al cien por cien si están bajo el mando del ejército indio o son contratistas que trabajan para ellos», dice.

Hackers a sueldo

El tercer grupo de APT indio identificado en el informe de IntSight se llama Darkish Basin, una especie de equipo de piratas informáticos a sueldo que supuestamente ha apuntado a funcionarios gubernamentales, políticos, grupos de defensa y actividades de derechos humanos en seis continentes. El grupo ha sido descrito anteriormente como vinculado a una empresa india llamada BellTroX InfoTech Companies. Recientemente, se asoció con una serie de ataques a ONG ambientales que trabajan en un caso authorized contra ExxonMobil en junio. Según el Citizen Lab de la Universidad de Toronto, que destapó la campaña en junio, después de una investigación de varios años, Dark Basin también participó en la operación de campañas de phishing contra grupos y organizaciones de defensa del clima que abogan por la neutralidad de la pink.

«Darkish Basin tiene una cartera noteworthy de objetivos, desde altos funcionarios gubernamentales y candidatos en varios países, hasta firmas de servicios financieros como fondos de cobertura y bancos, hasta compañías farmacéuticas», dijo Citizen Lab en su informe. «Es preocupante que Dim Basin se haya dirigido ampliamente a las organizaciones de defensa estadounidenses que trabajan en temas nacionales y globales».

Mientras tanto, una abundante disponibilidad de talento cibernético y un acceso relativamente limitado a carreras en el sector tecnológico nacional en India parece estar atrayendo a muchos a las actividades delictivas cibernéticas, dijo IntSights. La investigación de la compañía mostró que muchos actores de amenazas indios utilizan foros de la Darkish World-wide-web y mercados clandestinos para planificar, colaborar y ejecutar una amplia gama de actividades maliciosas.

Varios centros de estafa operan dentro del país que utilizan datos comprados en foros de la Dark Internet u obtenidos a través de phishing y otra ingeniería social para ejecutar una variedad de esquemas fraudulentos. Entre las actividades que IntSights identificó en su informe se encontraban las estafas de soporte técnico, las estafas del IRS, las estafas de citas, la extorsión con contenido para adultos y la amenaza de publicar grabaciones ilícitas obtenidas aparentemente a través de la piratería de cámaras de seguridad.

Los empleados de algunos centros de estafas de soporte técnico a veces parecen no conocer la naturaleza fraudulenta de la organización para la que trabajan y, a menudo, se les hace creer que trabajan para empresas de renombre, dice Maor.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique