KASPERSKY LAB REVELA LAS
ÚLTIMAS TÁCTICAS DEL CIBERESPIONAJE: COMPLEJIDAD Y MODULARIDAD VERSUS
FUNCIONALIDAD
 |
| Costin Raiu |
Kaspersky Lab ha descubierto que el
ciberespionaje patrocinado por Estados-nación es cada vez más sofisticado, se
enfoca en usuarios cuidadosamente definidos y utiliza herramientas complejas
modulares, y se mantiene oculto a los sistemas de detección cada vez más eficientes.
Esta nueva tendencia se confirmó durante un análisis detallado de la
plataforma de ciberespionaje EquationDrug. Los especialistas de Kaspersky Lab
encontraron que, después del éxito creciente de la industria para exponer a
grupos de amenazas persistentes avanzadas (APT), los actores de las amenazas
más sofisticadas ahora se centran en aumentar el número de componentes en su
plataforma maliciosa para llamar menos la atención y aumentar su sigilo.
Las últimas plataformas ahora están compuestas de muchos módulos
complemento que les permite seleccionar y realizar una amplia gama de
funciones, dependiendo de su objetivo y de la información que contienen.
Kaspersky Lab estima que EquationDrug incluye 116 complementos
diferentes.
"Los
Estados-nación atacantes buscan mejor estabilidad, invisibilidad, fiabilidad y
universalidad en sus herramientas de ciberespionaje. Están enfocados en crear
infraestructuras que envuelvan tal código en algo que se pueda personalizar en
sistemas vivos y que proporcionen una manera segura para almacenar todos los
componentes y datos en forma cifrada, inaccesible para los usuarios
regulares", explica Costin Raiu, Director del Equipo de Análisis e
Investigación Global de Kaspersky Lab. "La sofisticación de la
infraestructura hace que este tipo de actor sea diferente de los
ciberdelincuentes tradicionales, ya que prefiere enfocarse en la carga y en las
capacidades del malware que están diseñadas para obtener ganancias financieras
directas".
Otras formas en que estos Estados-nación atacantes diferencian sus
tácticas de los ciberdelincuentes tradicionales incluyen:
· Escala. Los ciberdelincuentes tradicionales distribuyen en forma masiva
correos electrónicos con archivos adjuntos maliciosos o infectan sitios web a
gran escala, mientras que los actores Estados-nación prefieren ataques
quirúrgicos altamente selectivos, que infecten sólo a un puñado de usuarios
seleccionados.
·
· Enfoque individual. Mientras que los ciberdelincuentes típicos utilizan de manera
reiterada código fuente públicamente disponible como por ejemplo los Troyanos
Zeus o Carberb, los actores Estados-nación construyen malware único y
personalizado, e incluso implementan restricciones que evitan el descifrado y
la ejecución fuera de la computadora objetivo.
· Extracción de información valiosa. Los ciberdelincuentes en general intentan
infectar a tantos usuarios como sea posible. Sin embargo, no tienen el tiempo o
el espacio de almacenamiento para revisar manualmente todas las máquinas que
infectan y saber quiénes son los propietarios, qué tipo de datos tienen
almacenados y qué tipo de software están ejecutando - para luego transferir y
almacenar todos los datos potencialmente interesantes.
o Como resultado codifican malware todo en uno que
extraerá sólo los datos más valiosos como números de contraseñas y de tarjetas
de crédito de las máquinas de las víctimas – actividad que rápidamente llamará
la atención de cualquier software de seguridad instalado.
o Por otro lado, los Estados-nación atacantes tienen
los recursos para almacenar todos los datos que sean necesarios. Para esquivar
la atención y mantenerse invisibles para el software de seguridad, tratan de
evitar la infección de usuarios al azar y en lugar de eso dependen de una
herramienta genérica de administración remota del sistema que pueda copiar
cualquier información que pudieran necesitar y en cualquier cantidad. Sin
embargo, esto podría funcionar en su contra ya que la movilización de grandes
cantidades de datos podría hacer muy lenta la conexión de la red y despertar
sospechas.
o
"Puede parecer
inusual que una plataforma de ciberespionaje tan poderosa como EquationDrug no
proporcione la capacidad de robar la contraseña de Skype o ICQ como estándar en
su núcleo de malware. La respuesta es que prefieren copiar una base de datos en
total y hacer el análisis sintáctico en el lado servidor. Sólo si han escogido
vigilarlo a usted activamente y los productos de seguridad en sus máquinas han
sido desarmados, recibirá un complemento (plugin) para rastrear en vivo sus
conversaciones. Creemos que esto llegará a ser una marca registrada
extraordinaria de Estados-nación atacantes en el futuro", concluye Costin
Raiu.
EquationDrug es la principal plataforma de espionaje desarrollada por el
Grupo Equation. Ha estado en uso por más que una década aunque ahora sea
reemplazada en gran parte por la plataforma aún más sofisticada GrayFish.
Las tendencias en tácticas confirmadas por el análisis de EquationDrug fueron
observadas por primera vez por Kaspersky Lab durante su investigación de las
campañas de ciberespionaje Careto y Regin, entre otras.
Para leer acerca de la última investigación
de la plataforma EquationDrug, por favor visite Securelist.com.
No hay comentarios:
Publicar un comentario