Home / Seguridad / Investigadores descubren operativo de ciber espionaje en 100 países

Investigadores descubren operativo de ciber espionaje en 100 países

 

cybercrime_cybersecurity-100034562-large

 

Investigadores de seguridad de la firma Trend Micro han descubierto una operación activa de ciberespionaje que ha comprometido computadoras de ministerios gubernamentales, compañías de tecnología, medios, instituciones académicas de investigación y ONGs de más de 100 países.

La operación, que Trend Micro ha denominado SafeNet, se dirige a las víctimas potenciales con correos electrónicos de phishing con archivos adjuntos maliciosos. Los expertos de la compañía han investigado la operación y ha publicado un trabajo de investigación con sus hallazgos el viernes.

Dos tácticas vistas

La investigación puso al descubierto dos conjuntos de comando y control (C&C) que los servidores utilizaron para que parezcan ser dos campañas de ataque SafeNet separadas que tienen objetivos diferentes, pero utilizan el mismo malware.

Una campaña utiliza mensajes de correo electrónico de phishing de carnada con contenido relacionado con el Tíbet y Mongolia. Estos correos electrónicos tienen archivos adjuntos “.doc” que explotan una vulnerabilidad de Microsoft Word parchada por Microsoft en abril del 2012.

La bitácora de los registros obtenidos de los servidores de esta campaña de C&C revelaron un total de 243 IP (Protocolo de Internet) víctimas, en 11 países diferentes. Sin embargo, los investigadores encontraron que sólo tres víctimas aún estaban activas en el momento de su investigación, con direcciones IP de Mongolia y Sudán.

Los servidores C&C que corresponden a la segunda campaña de ataque registran 11.563 direcciones IP únicas que fueron víctimas en 116 países diferentes, pero el número real de víctimas es probable que sea mucho más bajo, según los investigadores. En promedio, 71 víctimas se estaban comunicando activamente con este conjunto de servidores C&C en un momento dado durante la investigación, dijeron.

Los correos electrónicos de ataque utilizados en la segunda campaña de ataque no se han identificado, pero la campaña que parece ser más grande en su alcance y las víctimas más ampliamente dispersas geográficamente. Los cinco primeros países por número de víctimas IP son la India, los EE.UU., China, Pakistán, Filipinas y Rusia.

Malware con una misión

El malware instalado en las computadoras infectadas se ha diseñado principalmente para robar información, pero su funcionalidad puede ser mejorada con módulos adicionales. Los investigadores encontraron componentes plug-in para fines especiales en los servidores de comando y control, así como los programas off-the-shelf que se pueden utilizar para extraer las contraseñas guardadas en Internet Explorer y Mozilla Firefox, así como las credenciales de Protocolo de escritorio remoto almacenados en de Windows.

“Si bien la determinación de la intención y la identidad de los atacantes a menudo sigue siendo difícil de determinar, se estableció que la campaña de SafeNet se dirige y utiliza el malware desarrollado por un ingeniero de software profesional que puede estar conectado con el submundo criminal cibernético en China”, dijeron los investigadores de Trend Micro en su artículo. “Este individuo ha estudiado en una universidad técnica destacada dentro del mismo país y parece que tiene acceso al repositorio de código fuente de una compañía de servicios de Internet”.

18/05/2013 – Lucian Constantin – IDG News Service – PCWorld