FireEye descubre que las campañas de ciberespionaje de Gh0stRAT continúan

Una herramienta conocida de espionaje cibernético llamada Gh0st RAT se sigue empleando en ataques sigilosos de malware, según un nuevo informe de la firma de seguridad FireEye.

FireEye, que se especializa en detección de malware, lanzó datos recabados de cientos de sus clientes durante 2012. Se examinaron 12 millones de informes diferentes de actividad sospechosa, de los cuales alrededor de 2,000 fueron clasificados como "amenazas persistentes avanzadas" (APT), el término de la industria de la seguridad para sofisticado, difícil de detectar ataques dirigidos a la infiltración a largo plazo de organizaciones.

La mayoría de esos 2,000 incidentes emplearon a Gh0st RAT, una herramienta de acceso remoto que se cree que se desarrolló en China y que permite a los atacantes robar información de las computadoras de la víctima. En 2009, los investigadores del Information Warfare Monitor, un proyecto de investigación de seguridad informática, y la Universidad de Toronto informaron una extensa campaña de ciberespionaje utilizando Gh0st RAT que apuntaba a más de 1,000 computadoras en 103 países.

[Lectura adicional: Cómo eliminar malware de su PC con Windows]

Gh0st RAT es "una parte muy importante de muchos tipos de campañas APT porque es una herramienta efectiva", dijo Rob Rachwald, director sénior de investigación de mercado de FireEye.

El informe de FireEye analiza ampliamente cómo los atacantes extraen información de las víctimas y controlan su malware en las computadoras infectadas, o actividad de "devolución de llamada". Sus datos de 2012 muestran que los atacantes están usando servidores de comando y control para entregar instrucciones al malware en 184 países ahora, un aumento del 42 por ciento con respecto a 2010.

Corea del Sur tiene una concentración de actividad de devolución de llamada. Los servidores de las compañías de tecnología tienden a ser atacados por hackers para comunicarse con sus máquinas infectadas. "Creo que el hecho de que hayan sido tradicionalmente una de las naciones más conectadas en el mundo es probablemente otro conductor para esto", dijo Rachwald.

El informe de FireEye dijo que "en cierto sentido, Corea del Sur está plagada de RATs" herramientas de acceso]. Está claro a partir de los datos de 2012 que Corea del Sur es uno de los principales destinos de devolución de llamadas en el mundo y que algunas de las actividades de devolución de llamada del país están asociadas a ataques más específicos. "

Los piratas informáticos también estaban REPLACEando información robada en archivos de imagen JPEG en para hacer que los datos se parezcan más al tráfico normal. El malware también usó sitios de redes sociales como Twitter y Facebook para colocar instrucciones para las máquinas infectadas, dijo FireEye.

La compañía notó otros cambios en el comportamiento de los hackers. Por lo general, los servidores de comando y control se ubicaban en un país diferente al de la víctima. Ahora están ubicando la infraestructura de comando en el mismo país para hacer que el tráfico se vea normal.

Pero para algunos países, los hackers no se molestaron con los servidores de control en el país del objetivo. Tanto Canadá como el Reino Unido tuvieron porcentajes altos de tráfico de devolución de llamada en el extranjero. Los atacantes quizás no hicieron eso en esos países porque "sabían que no los iban a detectar", dijo Rachwald.