Hackers a sueldo apuntan a víctimas con campaña de ciberespionaje


Las víctimas residen en los Estados Unidos y en varios otros países, mientras que muchas de las organizaciones objetivo son instituciones financieras, dice BlackBerry.

cyberwar.jpg

Gangis_Khan, Getty Illustrations or photos / iStockphoto

El ciberdelito es una actividad que se distribuye cada vez más a terceros. Amenazas como ransomware, phishing y malware ahora están disponibles como servicios que se pueden comprar y vender en la Dark World wide web. Un nuevo tipo de campaña que involucra el ciberespionaje es el ejemplo más reciente de un delito cibernético perpetrado por personas contratadas.

VER: Ciberseguridad: pongámonos tácticos (PDF gratuito)

En su nuevo informe «La campaña CostaRicto: ciberespionaje subcontratado, «BlackBerry explain las acciones de una campaña maliciosa llevada a cabo por mercenarios independientes. Apodada CostaRicto, esta forma de ciberespionaje está siendo manejada por un grupo APT (Advanced Persistent Danger) con habilidades en herramientas de malware, proxy VPN y tunelización SSH.

Los ataques APT a menudo provienen de grupos patrocinados por el estado o incluso estados-nación que tienen los medios y el motivo para lanzar campañas sigilosas y prolongadas.

Al contratar un grupo mercenario para llevar a cabo la campaña, los verdaderos atacantes pueden proteger mejor su identidad y eludir cualquier intento de detección. Estos atacantes también pueden utilizar a un tercero si carecen de las herramientas, tecnologías o talentos para ejecutar una campaña de principio a fin. Un grupo de mercenarios capacitados a menudo elige trabajar solo con clientes de alto perfil que pueden pagar sus servicios, y eso incluye organizaciones importantes, personas influyentes e incluso gobiernos.

Con la campaña CostaRicto, BlackBerry descubrió que los objetivos se encuentran en varios países, incluidos EE. UU., China, India, Australia, Francia, Bangladesh y Singapur. Hay un ligero enfoque en la región del sur de Asia (India, Bangladesh y Singapur), una señal de que el grupo APT podría tener su sede en esa área y quizás manejar una variedad de trabajos de diferentes clientes. Las organizaciones objetivo se distribuyen en varias industrias, pero una gran parte de ellas son instituciones financieras.

¿Cuáles son los verdaderos atacantes que contrataron al grupo APT buscando lograr?

«No estamos 100% seguros, pero todo lo que actualmente está configurado parece ser para el espionaje, pero podrían cambiar sus técnicas con poco esfuerzo para implementar otros mecanismos como mineros de monedas o ransomware», dijo Eric Milam, vicepresidente de operaciones de investigación de BlackBerry. TechRepublic. «No estamos 100% seguros del last del juego del atacante, sin embargo, han establecido una foundation elaborada para garantizar el acceso a largo plazo a las víctimas, así como muchos canales encubiertos para transferir datos fuera de la infraestructura de las víctimas».

El grupo APT gestiona sus servidores de comando y control (C2) utilizando Colina y una capa de proxies. Además, se configura una purple de túneles SSH en el entorno de la víctima. En conjunto, estas tácticas apuntan a un nivel de seguridad mejor que el promedio para esta campaña. La operación utiliza una nueva cepa de malware que no se ha visto antes, creada a medida con un nombre de proyecto sugerente, código bien estructurado y un sistema de handle de versiones detallado.

El proyecto de puerta trasera para la campaña se llama Sombra, una referencia a un personaje en el juego en línea. Supervisión. Específicamente, Sombra es una agente que se especializa en espionaje y es conocida por sus habilidades de sigilo, infiltración y piratería. Sombra también tiene la capacidad de hacerse invisible y destruir las defensas de sus enemigos mediante un pulso electromagnético (EMP).

Algunos de los nombres de dominio codificados en el código de puerta trasera parecen falsificar dominios legítimos, como el del Point out Bank of India Bangladesh (sbibd.com). Pero las víctimas reales no están relacionadas con estos casos, por lo que pueden no ser más que referencias reutilizadas. Una de las direcciones IP registradas con los dominios de puerta trasera se superpone con una campaña de phishing anterior atribuida a APT28. Sin embargo, Blackberry cree que esta superposición es una coincidencia o que esta campaña anterior fue entregada al grupo mercenario.

Los jugadores detrás de este tipo de campañas subcontratadas son difíciles de encontrar, según BlackBerry. Por lo normal, los investigadores clasificarán los grupos de delitos informáticos basándose en tácticas, técnicas y procedimientos similares (TTP). Pero con la actividad mercenaria, los objetivos a menudo parecen ser aleatorios y no revelan mucho sobre las personas reales y los motivos detrás de los ataques.

Ciertas organizaciones apuntadas en esta campaña de espionaje se han visto comprometidas, según Milam, quien no pudo compartir más detalles debido a la confidencialidad. No existe una fórmula mágica para combatir este tipo de ataques, dijo Milam, pero las empresas deberían al menos seguir las prácticas estándar de higiene cibernética. Eso significa que deben comprender sus mayores áreas de riesgo y asegurarse de corregir cualquier defecto crítico, ejecutar análisis de vulnerabilidades y utilizar pruebas de penetración.

Ver también



Enlace a la noticia unique