Investigadores descubren nueva campaña mundial de ciberespionaje

Investigadores de seguridad han identificado una campaña de ciberespionaje en curso que comprometió 59 computadoras pertenecientes a organizaciones gubernamentales, institutos de investigación, grupos de expertos y compañías privadas de 23 países en el Los últimos 10 días.

La campaña de ataque fue descubierta y analizada por investigadores de la firma de seguridad Kaspersky Lab y el Laboratorio de Criptografía y Seguridad del Sistema (CrySyS) de la Universidad de Tecnología y Economía de Budapest.

Apodada MiniDuke, la campaña de ataque utilizaron mensajes de correo electrónico dirigidos, una técnica conocida como spear phishing, que contenía archivos PDF maliciosos acompañados de Un exploit parcheado para Adobe Reader 9, 10 y 11.

[Más información: Cómo eliminar el malware de su PC con Windows]

El exploit fue descubierto originalmente en ataques activos a principios de este mes por investigadores de seguridad de FireEye y es capaz de sobrepasar la protección del espacio aislado en Adobe Reader 10 y 11. Adobe lanzó parches de seguridad para las vulnerabilidades del exploit el 20 de febrero.

Los nuevos ataques MiniDuke usan el mismo exploit identificado por FireEye, pero con algunas modificaciones avanzadas, dijo Costin Raiu, director del equipo global de investigación y análisis de Kaspersky Lab, el miércoles. Esto podría sugerir que los atacantes tuvieron acceso al kit de herramientas que se utilizó para crear el exploit original.

Los archivos PDF maliciosos son copias deshonestas de informes con contenido relevante para las organizaciones objetivo e incluyen un informe sobre el encuentro informal Asia-Europa (ASEM) seminario sobre derechos humanos, un informe sobre el plan de acción de adhesión de la OTAN de Ucrania, un informe sobre la política exterior regional de Ucrania y un informe sobre la Asociación Económica Armenia 2013, y más.

Si el exploit es exitoso, los archivos PDF deshonestos instalar una pieza de malware cifrada con la información recopilada del sistema afectado. Esta técnica de cifrado también se usó en el malware de ciberespionaje de Gauss e impide que el malware se analice en un sistema diferente, dijo Raiu. Si se ejecuta en una computadora diferente, el malware se ejecutará, pero no iniciará su funcionalidad maliciosa, dijo.

Otro aspecto interesante de esta amenaza es que tiene solo 20 KB de tamaño y fue escrita en Assembler, un método que rara vez se usa hoy por creadores de malware. Su pequeño tamaño también es inusual en comparación con el tamaño del malware moderno, dijo Raiu. Esto sugiere que los programadores eran de la "vieja escuela", dijo.

La pieza de malware instalada durante esta primera etapa del ataque se conecta a cuentas de Twitter específicas que contienen comandos cifrados que apuntan a cuatro sitios web que actúan como comandos y controlar servidores Estos sitios web, que están alojados en los EE. UU., Alemania, Francia y Suiza, alojan archivos cifrados GIF que contienen un segundo programa de puerta trasera.

La segunda puerta trasera es una actualización de la primera y se conecta a los servidores de comando y control para descargar otro programa de puerta trasera que está diseñado exclusivamente para cada víctima. Hasta el miércoles, los servidores de comando y control alojaban cinco programas diferentes de puerta trasera para cinco víctimas únicas en Portugal, Ucrania, Alemania y Bélgica, dijo Raiu. Estos programas exclusivos de puerta trasera se conectan a diferentes servidores de comando y control en Panamá o Turquía., y permiten a los atacantes ejecutar comandos en los sistemas infectados.

Las personas detrás de la campaña de ciberespionaje MiniDuke han operado desde al menos abril de 2012, cuando se creó por primera vez una de las cuentas especiales de Twitter, dijo Raiu. Sin embargo, es posible que su actividad fuera más sutil hasta hace poco, cuando decidieron aprovechar el nuevo exploit de Adobe Reader para comprometer a tantas organizaciones como sea posible antes de que las vulnerabilidades sean reparadas, dijo.

El malware utilizado en los nuevos ataques es único y no se ha visto antes, por lo que el grupo podría haber utilizado diferentes programas maliciosos en el pasado, dijo Raiu. A juzgar por la amplia gama de objetivos y la naturaleza global de los ataques, los atacantes probablemente tengan una agenda grande, dijo.

Las víctimas de MiniDuke incluyen organizaciones de Bélgica, Brasil, Bulgaria, República Checa, Georgia, Alemania, Hungría e Irlanda., Israel, Japón, Letonia, Líbano, Lituania, Montenegro, Portugal, Rumania, Rusia, Eslovenia, España, Turquía, Ucrania, Reino Unido y los Estados Unidos.

En los Estados Unidos, un instituto de investigación, dos pro estadounidenses. los think tanks y una compañía de servicios de salud se han visto afectados por este ataque, dijo Raiu sin nombrar a ninguna de las víctimas.

El ataque no es tan sofisticado como Flame o Stuxnet, pero es de alto nivel, dijo Raiu. No hay indicaciones con respecto a dónde podrían operar los atacantes ni a qué intereses podrían estar sirviendo.

Dicho esto, el estilo de codificación de puerta trasera recuerda a un grupo de escritores de malware conocido como 29A, que se cree que está extinto desde 2008. Hay un La firma "666" en el código y 29A es la representación hexadecimal de 666, dijo Raiu.

También se encontró un valor "666" en el malware utilizado en los ataques anteriores analizados por FireEye, pero esa amenaza era diferente de MiniDuke, Dijo Raiu. La cuestión de si los dos ataques están relacionados sigue abierta.

Las noticias de esta campaña de ciberespionaje se producen después de renovadas discusiones sobre la amenaza del ciberespionaje chino, particularmente en los EE. UU., Que surgieron de un informe reciente de la firma de seguridad Mandiant. El informe contiene detalles sobre la actividad de varios años de un grupo de ciberataques apodado el Equipo de Comentarios que Mandiant cree que es una ciberunidad secreta del Ejército chino. El gobierno chino ha desestimado las acusaciones, pero el informe fue ampliamente cubierto en los medios.

Raiu dijo que ninguna de las víctimas de MiniDuke identificadas hasta ahora era de China, pero se negó a especular sobre la importancia de este hecho. La semana pasada, investigadores de seguridad de otras compañías identificaron ataques dirigidos que distribuían el mismo exploit PDF enmascarado como copias del informe Mandiant.

Esos ataques instalaron malware que claramente era de origen chino, dijo Raiu. Sin embargo, la forma en que se utilizó el exploit en esos ataques fue muy cruda y el malware no era sofisticado en comparación con MiniDuke, dijo.