Investigadores descubren el misterioso grupo de ciberespionaje ‘Metador’



LABSCON – Scottsdale, Ariz. – Un nuevo actor de amenazas que infectó una empresa de telecomunicaciones en el Medio Oriente y varios proveedores de servicios de Internet y universidades en el Medio Oriente y África es responsable de dos plataformas de malware «extremadamente complejas», pero mucho sobre el grupo que permanece envuelto en misterio, según una nueva investigación revelada hoy aquí.

Los investigadores de SentintelLabs, que compartieron sus hallazgos en la primera conferencia de seguridad de LabsCon, llamaron al grupo Metador, basándose en la frase «Soy meta» que aparece en el código malicioso y en el hecho de que los mensajes del servidor suelen estar en español. Se cree que el grupo ha estado activo desde diciembre de 2020, pero ha pasado desapercibido con éxito en los últimos años. Juan Andrés Guerrero-Saade, director sénior de SentinelLabs, dijo que el equipo compartió información sobre Metador con investigadores de otras empresas de seguridad y socios gubernamentales, pero nadie sabía nada sobre el grupo.

Los investigadores de Guerrero-Saade y SentinelLabs Amitai Ben Shushan Ehrlich y Aleksandar Milenkoski publicaron un entrada en el web site y detalles técnicos sobre las dos plataformas de malware, metaMain y Mafalda, con la esperanza de encontrar más víctimas que hayan sido infectadas. «Sabíamos dónde estaban, no dónde están ahora», dijo Guerrero-Saade.

MetaMain es una puerta trasera que puede registrar la actividad del mouse y el teclado, tomar capturas de pantalla y filtrar datos y archivos. También se puede usar para instalar Mafalda, un marco altamente modular que brinda a los atacantes la capacidad de recopilar información del sistema y de la purple y otras capacidades adicionales. Tanto metaMain como Mafalda funcionan completamente en memoria y no se instalan en el disco duro del sistema.

Cómic político

Se cree que el nombre del malware se inspiró en Mafalda, una caricatura popular en español de Argentina que comenta regularmente sobre temas políticos.

Metador configuró direcciones IP únicas para cada víctima, asegurando que incluso si se descubre un comando y control, el resto de la infraestructura permanece operativa. Esto también hace que sea extremadamente difícil encontrar otras víctimas. Suele ocurrir que cuando los investigadores descubren la infraestructura de un ataque, encuentran información que pertenece a varias víctimas, lo que ayuda a determinar el alcance de las actividades del grupo. Debido a que Metador mantiene separadas sus campañas objetivo, los investigadores solo tienen una visión limitada de las operaciones de Metador y del tipo de víctimas a las que se dirige el grupo.

Sin embargo, lo que al grupo no parece importarle es mezclarse con otros grupos de ataque. La compañía de telecomunicaciones de Medio Oriente que fue una de las víctimas de Metador ya estaba comprometida por al menos otros 10 grupos de ataque de estados-nación, encontraron los investigadores. Muchos de los otros grupos parecían estar afiliados a China e Irán.

Varios grupos de amenazas dirigidos al mismo sistema a veces se denominan «imán de amenazas», ya que atraen y alojan varios grupos y plataformas de malware simultáneamente. Muchos actores del estado-nación se toman el tiempo para eliminar los rastros de infección de otros grupos, llegando incluso a reparar las fallas que usaron los otros grupos, antes de llevar a cabo sus propias actividades de ataque. El hecho de que Metador infectara malware en un sistema ya comprometido (repetidamente) por otros grupos sugiere que al grupo no le importa lo que harían los otros grupos, dijeron los investigadores de SentinelLabs.

Es posible que la empresa de telecomunicaciones fuera un objetivo tan valioso que el grupo estuviera dispuesto a correr el riesgo de ser detectado, ya que la presencia de varios grupos en el mismo sistema aumenta la probabilidad de que la víctima observe algo mal.

Ataque de tiburón

Si bien el grupo parece tener muy buenos recursos, como lo demuestra la complejidad técnica del malware, la seguridad operativa avanzada del grupo para evadir la detección y el hecho de que está en desarrollo activo, Guerrero-Saade advirtió que no period suficiente. para determinar que hubo participación del estado-nación. Es posible que Metador sea el producto de un contratista que trabaja en nombre de un estado-nación, ya que hay indicios de que el grupo fue muy profesional, dijo Geurrero-Saade. Y los miembros pueden tener experiencia previa en la realización de este tipo de ataques a este nivel, señaló.

«Consideramos el descubrimiento de Metador related a una aleta de tiburón rompiendo la superficie del agua», escribieron los investigadores, señalando que no tienen plan de lo que está sucediendo debajo. «Es un motivo de aprensión que corrobora la necesidad de que la industria de la seguridad diseñe de manera proactiva para detectar la verdadera capa top-quality de los actores de amenazas que actualmente atraviesan las redes con impunidad».



Enlace a la noticia unique