Video: Conferencia: Operaciones Militares en el Ciberespacio (Tcol. Manuel Saz Baselga) CyberCamp 2016 (Noviembre 2024)
Investigadores de Trend Micro descubrieron que una operación en curso de ciberespionaje, denominada Safe, apuntó a varias organizaciones en más de 100 países con correos electrónicos de phishing.
La operación parece haber apuntado a agencias gubernamentales, empresas de tecnología, medios de comunicación, instituciones de investigación académica y organizaciones no gubernamentales, Kylie Wilhoit y Nart Villeneuve, dos investigadores de amenazas de Trend Micro, escribieron en el Blog de Inteligencia de Seguridad. Trend Micro cree que más de 12, 000 direcciones IP únicas repartidas en más de 120 países fueron infectadas con el malware. Sin embargo, solo 71 direcciones IP, en promedio, se comunicaron activamente con los servidores de C&C todos los días.
"El número real de víctimas es mucho menor que el número de direcciones IP únicas", dijo Trend Micro en su documento técnico, pero declinó especular sobre una cifra real.
La seguridad depende del phishing de lanza
Safe consiste en dos campañas distintas de spear phishing que usan la misma variedad de malware, pero que usan diferentes infraestructuras de comando y control, escribieron los investigadores en el documento técnico. Los correos electrónicos de phishing de lanza de una campaña tenían líneas de asunto que se referían a Tibet o Mongolia. Los investigadores aún no han identificado un tema común en las líneas de asunto utilizadas para la segunda campaña, que ha cobrado víctimas en India, Estados Unidos, Pakistán, China, Filipinas, Rusia y Brasil.
Safe envió correos electrónicos de phishing a las víctimas y los engañó para que abrieran un archivo adjunto malicioso que explotaba una vulnerabilidad de Microsoft Office ya corregida, según Trend Micro. Los investigadores encontraron varios documentos de Word maliciosos que, cuando se abrieron, instalaron silenciosamente una carga útil en la computadora de la víctima. La vulnerabilidad de ejecución remota de código en los controles comunes de Windows se parchó en abril de 2012.
Detalles de la infraestructura de C&C
En la primera campaña, las computadoras de 243 direcciones IP únicas en 11 países diferentes se conectaron al servidor de C&C. En la segunda campaña, las computadoras de 11, 563 direcciones IP de 116 países diferentes se comunicaron con el servidor de C&C. India parecía ser la más objetivo, con más de 4.000 direcciones IP infectadas.
Se configuró uno de los servidores de C&C para que cualquiera pudiera ver el contenido de los directorios. Como resultado, los investigadores de Trend Micro pudieron determinar quiénes eran las víctimas y también descargar archivos que contenían el código fuente detrás del servidor C&C y el malware. Al observar el código del servidor de C&C, parece que los operadores reutilizaron el código fuente legítimo de un proveedor de servicios de Internet en China, dijo Trend Micro.
Los atacantes se conectaban al servidor de C&C a través de VPN y usaban la red Tor, lo que dificultaba rastrear dónde se encontraban los atacantes. "La diversidad geográfica de los servidores proxy y las VPN dificultó determinar su verdadero origen", dijo Trend Micro.
Los atacantes pueden haber utilizado malware chino
Según algunas pistas en el código fuente, Trend Micro dijo que era posible que el malware se desarrollara en China. En este momento no se sabe si los operadores de Safe desarrollaron el malware o se lo compraron a otra persona.
"Si bien determinar la intención y la identidad de los atacantes sigue siendo difícil, evaluamos que esta campaña está dirigida y utiliza malware desarrollado por un ingeniero de software profesional que puede estar conectado al cibercriminal clandestino en China", escribieron los investigadores en el blog.
