Publicidad
Vie Nov 24 2017
21ºC
Actualizado 09:57 pm
Lunes 13 de Noviembre de 2017 - 12:01 AM

Cibercriminales con Suramérica en la mira

Symantec ha conectado campañas de ataques anteriores del grupo Sowbug, demostrando que ha estado activo desde principios de 2015 y puede haber estado operando incluso antes.

La empresa de seguridad Symantec Corporation descubrió que un grupo apodado Sowbug ha llevado a cabo ciberataques principalmente dirigidos contra organizaciones en América del Sur y el Sudeste Asiático, y parece estar muy centrado en instituciones de política exterior y objetivos diplomáticos.

Grupo de atacantes

al descubierto

Symantec vio la primera evidencia de actividad relacionada con Sowbug con el descubrimiento en marzo de 2017 de un malware completamente nuevo llamado ‘Felismus’, utilizado contra un objetivo en el Sudeste Asiático, pero luego identificó más víctimas en ambos lados del Océano Pacífico.

Aunque la herramienta de ataque Felismus se identificó por primera vez en marzo de 2017, su asociación con Sowbug era desconocida hasta hace poco.

Hasta la fecha, Sowbug parece enfocarse principalmente en entidades gubernamentales en América del Sur y el Sudeste Asiático y se ha infiltrado en organizaciones en Argentina, Brasil, Ecuador, Perú, Brunei y Malasia.

El grupo tiene muchos recursos, es capaz de infiltrarse en múltiples objetivos simultáneamente y a menudo opera fuera de los horarios de trabajo de las oficinas que son el target para mantener un bajo perfil. Pistas sobre la motivación e intereses de los atacantes pueden encontrarse en lo que hacen después de comprometer a las víctimas.

Intromisiones altamente dirigidas

En un ataque de 2015 contra un Ministerio de Relaciones Exteriores sudamericano, el grupo parecía buscar información muy específica. La primera evidencia de su intromisión data del 6 de mayo de 2015, pero la actividad pareció haber comenzado en serio el día 12 de mayo.

Los atacantes parecían estar interesados en la división del ministerio responsable de las relaciones con la región Asia-Pacífico, e intentaron extraer todos los documentos de Word almacenados en un servidor de archivos perteneciente a esta división y agruparlos en un archivo comprimido.

Curiosamente, el ataque especificó que solo archivos modificados desde el 11 de mayo de 2015 en adelante debían archivarse.

El archivo parece haber sido extraído con éxito, porque una hora más tarde hubo un intento por extraer todos los documentos modificados a partir del 7 de mayo de 2015, un valor adicional de cuatro días de datos. O bien los atacantes no encontraron lo que buscaban en la incursión inicial, o algo en los documentos que robaron los impulsó a obtener más información.

El siguiente paso fue enumerar las unidades compartidas en red y luego intentar acceder a recursos remotos pertenecientes a la oficina gubernamental específica a la que apuntaban, una vez más intentando extraer todos los documentos de Word.

En este caso, buscaron cualquier documento modificado a partir del 9 de mayo. Los atacantes entonces parecieron ampliar su interés, enumerando los contenidos de varios directorios en acciones remotas, incluso uno que pertenece a otra división del Ministerio de Asuntos Exteriores sudamericano, este responsable de las relaciones con organizaciones internacionales. También desplegaron dos cargas útiles desconocidas en el servidor infectado. En total, los atacantes mantuvieron una presencia en la red del objetivo durante cuatro meses entre mayo y septiembre de 2015.

Perfil bajo como método de supervivencia

Sowbug con frecuencia mantiene presencia a largo plazo en las redes de organizaciones específicas, permaneciendo dentro del dispositivo de las víctimas hasta por seis meses.

Una de las tácticas que usa para evitar llamar la atención es hacerse pasar por los paquetes de software comúnmente utilizados, como Windows o Adobe Reader, para esconderse a plena vista, ya que es poco probable que su aparición en las listas de procesos despierte sospechas.

Por ejemplo, en septiembre de 2016, Sowbug se infiltró en una organización en Asia, introduciendo a Felismus por las puertas traseras en una de sus computadoras, usando el nombre de archivo adobecms.exe, desde donde instaló componentes y herramientas adicionales en un directorio que aparentaba ser de seguridad de Microsoft. Luego, los atacantes recopilaron información del sistema operativo, de la configuración del hardware y de la red, e hicieron un reconocimiento adicional, intentando identificar todas las aplicaciones instaladas en la computadora.

Regresaron 4 días después, creando un subdirectorio llamado “común” en el directorio de Adobe de la carpeta Archivos de programa, donde instalaron otra herramienta, nuevamente llamada adobecms.exe, posiblemente una versión actualizada de su software de ataque.

El reconocimiento de la red pareció ser exitoso porque se identificó y comprometió una segunda computadora de interés en la organización. Los atacantes usaron un archivo ejecutable llamado fb.exe, presumiblemente para copiar Felismus a través de la red a otras computadoras. Existe evidencia de que los atacantes lo usaron para intentar infectar al menos dos computadoras más.

Los atacantes tomaron medidas adicionales para permanecer bajo el radar llevando a cabo sus operaciones fuera del horario de oficina, y mantuvieron una presencia en la red del objetivo durante casi seis meses entre septiembre de 2016 y marzo de 2017.

Vectores de infección

No se sabe cómo Sowbug realiza su infiltración inicial en la red de un objetivo. En algunos casos, no había rastro de cómo Felismus llegó a las computadoras comprometidas, lo que significa que probablemente se implementó desde otras computadoras que se encontraban comprometidas en la red.

En otros ataques, hubo pruebas de que Felismus se instaló utilizando una herramienta conocida como Starloader, detectada por Symantec como Trojan.Starloader. Este es un cargador que instala y descifra datos de un archivo llamado Stars.jpg. Además, se observó que Starloader implementaba herramientas adicionales utilizadas por los atacantes, como los dumpers de credenciales de usuario y los registradores de pulsaciones de teclas.

Todavía no se sabe cómo Starloader está instalado en la computadora comprometida. Una posibilidad es que los atacantes usen actualizaciones de software falsas para instalar archivos. Symantec ha encontrado pruebas de que los archivos de Starloader se llaman AdobeUpdate.exe, AcrobatUpdate.exe e INTELUPDATE.EXE, entre otros.

Estos se usaron para crear versiones de las puertas traseras de Felismus y otras herramientas.

Publicada por
Contactar al periodista
Sin votos aún
Publicidad
Comentarios
Agregar comentario
Comente con Facebook
Agregar comentario
Comente con Vanguardia
Comente con Facebook
Agregar comentario
Vanguardia Liberal no se hace responsable por las opiniones emitidas en este espacio. Los comentarios que aquí se publican son responsabilidad del usuario que los ha escrito. Vanguardia Liberal se reserva el derecho de eliminar aquellos que utilicen un lenguaje soez, que ataquen a otras personas o sean publicidad de cualquier tipo.
Publicidad
Publicidad
Publicidad