Seguridad

10 investigaciones que salieron en 2018 sobre amenazas que apuntan a objetivos de alto perfil

Repasamos algunas de las principales investigaciones realizadas por los investigadores de ESET sobre amenazas sofisticadas generalmente operadas por grupos de ciberdelincuentes y cuyos ataques apuntan, en la mayoría de los casos, al espionaje de organismos específicos.

El escenario del cibercrimen es bastante heterogéneo. Por un lado, muchos jóvenes con una ética cuestionable deciden incursionar en este mundo en busca de obtener rédito económico, pero sobre todo para ser renoção entre sus pares. Es probable que muchos de estos jóvenes, dada su inexperiencia, empiecen a realizar ataques que requieran poca complejidad o sofisticación y busquen aprovechar el uso de técnicas antiguas que aún se siguen utilizando. Pero sería un error creer que estos jóvenes representan todo lo que uno puede encontrar en el universo de los actores maliciosos.

Como dijo Tony Anscombe en su presentación en SegurInfo 2018, se refirió a la industria del malware, actualmente, esta industria “presenta características como las de una empresa de software. Según el Global Security Evangelist de ESET, es muy probable que algunos grupos organizados de ciberdelincuentes tengan una oficina, que tengan empleados, que exista un proceso de mercadeo y distribución de software y productos y servicios que se ofrecen”.

En el caso de los grupos organizadosexisten aquellos que cuentan con backados gubernamentales y que, tal como mencionamos en Tendencias 2019, utiliza herramientas más complejas para lograr sus objetivos, porque cuentan con un presupuesto más generoso.

Si es muy difícil atribuir la autoría de una amenaza o un ataque a un grupo de ciberdelincuentes, y más aún a un Estado, ya que estaría entrando en el terreno de la especulación, los investigadores de ESET han publicado a lo largo de este año el resultados de diversas investigaciones en las que se ha descubierto y analizado nuevos penguidos. En este articulo, te proponemos revisar algunas de las investigaciones más interesantes publicadas por los expertos del laboratorio de ESET a lo largo de 2018 sobre amenazas complejas que tienen como objetivo -al menos en algunos casos- específicos blancos y de gran relevancia, como son oficinas de organismos gubernamentales.

1. Nueva herramienta del grupo Turla utilizada para campañas que apuntan a embajadas y consulados

A principios de este año, investigadores de ESET descubrieron una nueva herramienta que el grupo Turla incorporó a su arsenal y que busca engañar a las víctimas aprovechando un falso instalador de Flash para instalar malware con el objetivo de obtener información sensible. Esta nueva herramienta se ha utilizado en campañas dirigidas a embajadas y consulados en los estados.

La investigación completa puede verse aquí.

2. Nuevo backdoor del grupo OceanLotus

Este año, los investigadores de ESET descubrieron una nueva puerta trasera del grupo centrado en el ciberespionaje, OceanLotus, que consiste en una herramienta que permite a sus operadores acceder de forma remota a equipos vulnerables. Este backdoor ha sido utilizado principalmente contra compañías y organizaciones gubernamentales del sudeste asiático; como son Vietnam, Filipinas, Laos y Camboya. Como parte de la investigación, los especialistas también publicaron un whitepaper donde explican en detalle cómo funciona esta nueva puerta trasera.

La investigación completa puede verse aquí.

3. Nuevas variantes de Zebrocy utilizado para ataques hacia embajadas y ministerios de distintos países

Investigadores de ESET analizaron una nueva variante de Zebrocy, un componente de una herramienta de espionaje propiedad del grupo Sednit que aparece regularmente desde 2017 y que según los expertos se actualiza constantemente. En concreto, Zebrocy es una familia de malware que incluye downloaders y backdoors que cumplen una misión en la primera etapa del malware para que entre en acción el backdoor principal de Sednit: Xagent.

La investigación completa puede verse aquí.

4. Nuevas tácticas, técnicas y procedimientos en la campaña Mosquito del grupo Turla

En julio de 2018, especialistas de ESET publicaron un análisis de los últimos cambios en la última campaña llamada Mosquito del grupo Turla, el mismo grupo que en 2008 se dio a conocer cuando atacó al Departamento de Defensa de Estados Unidos. La campaña Mosquito se ha utilizado frecuentemente con multas de espionaje. Si bien los cambios no presentan ninguna innovación técnica, ya que continúan aprovechándose de un falso instalador de Flash, indican un cambio significativo en términos de tácticas, técnicas y procedimientos (ITTP) hacia el uso de herramientas más genéricas, como el use of Metasploit como backdoor en la primera parte del ataque, en lugar de recurrir a una herramienta propia como puede ser Skipper.

La investigación completa puede verse aquí.

5. RAT utilizado para campañas de espionaje dirigidas a instituciones gubernamentales

Otro análisis publicado por los investigadores del laboratorio de ESET y que también incluye un whitepaper fue el de Vermin; una herramienta de acceso remoto (RAT) utilizada en una campaña de espionaje para infiltrarse en las instituciones gubernamentales de Ucrania para extraer datos.

La investigación completa puede verse aquí.

6. Análisis del software espía InvisiMole

InvisiMole es un software espía dirigido a organizaciones gubernamentales que ha permanecido oculto durante al menos cinco años en ordenadores pertenecientes a objetivos a gran escala en países como Ucrania y Rusia. Si bien en este caso no se sabe quiénes son los actores liciosos que operan, esta herramienta de ciberespionaje tiene múltiples funciones, entre otras: la capacidad de controlar la webcam y el micrófono del ordenador infectado, así como realizar capturas de pantalla. De esta manera, InvisiMole tiene la capacidad de tomar fotografías de lo que sucede en el entorno donde se encuentra la computadora, además de grabar el sonido ambiental. Por si fuera poco, realiza capturas de pantalla de cada una de las ventanas abiertas, sin importar que estén solapadas, y monitorea todas las unidades rígidas o extraíbles. Una vez que se recopila la información, el malware envía todos los datos al atacante.

La investigación completa puede verse aquí.

7. Backdoor que se controla a través del correo y que es utilizado para espionaje

El grupo de Turla utilizó un backdoor particular que fue analizado por el equipo de investigadores de ESET que tiene la particularidad de ser controlado en su totalidad a través del correo. Según los expertos, esta puerta trasera se utilizó para campañas de espionaje dirigidas a instituciones europeas. Entre sus víctimas está la Oficina del Ministerio de Asuntos Exteriores de Alemania (utilizada durante casi todo 2017), así como las oficinas de asuntos exteriores de otros dos países europeos.

La particularidad de este backdoor es que en lugar de utilizar una infraestructura convencional de mando y control (C&C), el backdoor se opera a través de mensajes de correo; más concretamente media archivos PDF especialmente diseñados como archivos adjuntos.

Puede encontrar un análisis detallado de esta puerta trasera aquí.

8. Descubran el primer rootkit de UEFI

En septiembre de este año, los investigadores de ESET publicaron un informe detallado (que también incluye un documento técnico) sobre el descubrimiento del primer rootkit UEFI, llamado LoJax. La relevancia de LoJax es que es el primer rootkit UEFI que se descubre en uso, pues hasta ahora sus hallazgos solo se han presentado como pruebas de concepto. Por otro lado, los rootkits UEFI son especialmente peligrosos, ya que son difíciles de detectar y pueden permanecer en un equipo a pesar de la reinstalación del sistema operativo e incluso la sustitución del disco duro.

Este rootkit fue utilizado con éxito por el grupo Sednit para afectar a ciertas organizaciones gubernamentales en los Balcanes, Europa Central y Europa del Este.

Puede encontrar un análisis completo de LoJax aquí.

9. GreyEnergy: la evolución de Blackenergy

Otra de las investigaciones que publicamos este año fue la del malware llamado GreyEnergy, aparentemente obra del grupo TeleBots, que según los expertos es considerado el sucesor del grupo BlackEnergy APT, que fue utilizado en 2015 para un ciberataque dirigido a un red eléctrica que dejó sin suministro eléctrico a unas 230.000 personas en Ucrania. Según los investigadores de ESET, la estructura del malware GrayEnergy tiene muchas similitudes con BlackEnergy y se cree que los actores maliciosos detrás de GreyEnergy se han centrado en tareas de espionaje. y reconocimiento, muy probablemente como parte de la etapa de preparación para un futuro ataque o preparación del terreno para una operación en la que se ejecute otra herramienta maliciosa del grupo.

Puede encontrar un análisis completo de GreyEnergy aquí.

10. Nuevas familias de malware para Linux

En diciembre, los investigadores de ESET publicaron un informe técnico que detalla el descubrimiento de 21 familias de malware para Linux basadas en OpenSSH. Todas las familias operan como versiones trojanizadas del cliente OpenSSH. Por otro lado, el análisis de estas 21 familias muestra que 18 de ellas tienen una funcionalidad de robo de credenciales que les permite robar contraseñas y/o claves utilizadas por el servidor y cliente troyanizado OpenSSH, y que 17 de las 21 familias tienen con un modo backdoor que ofrece a los atacantes una forma sigilosa y persistente de conectarse nuevamente con el equipo comprometido.

Puede encontrar un análisis completo de las 21 familias de malware para Linux, que también incluye un informe técnico, aquí.

Estas han sido solamente algunas de las principales investigaciones y análisis de amenazas complejas realizadas por el equipo de investigación del laboratorio de ESET. Invitamos a los lectores a continuar visitando WeLiveSecurity durante 2019 para estar al tanto de las nuevas publicaciones que estaremos realizando.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
error: Content is protected !!