El escenario del cibercrimen es bastante heterogéneo. Por un lado, muchos jóvenes con una ética cuestionable deciden incursionar en este mundo en busca de obtener rédito económico, pero sobre todo para ser reconocidos entre sus pares. Es probable que muchos de estos jóvenes, dada su inexperiencia, comiencen realizando ataques que requieran poca complejidad o sofisticación y busquen aprovecharse del uso de viejas técnicas que aún siguen funcionando. Pero sería un error creer que estos jóvenes representan a todo lo que uno puede encontrar en el universo de los actores maliciosos.
Tal como dijo Tony Anscombe en su presentación en SegurInfo 2018 al referirse a la Industria del malware, en la actualidad, esta industria “presenta características como las de una empresa de software. Según el Global Security Evangelist de ESET, es muy probable que algunos grupos organizados de cibercriminales cuenten con una oficina, que tengan sus empleados, que exista un proceso de comercialización y distribución del software y de los productos y servicios que se ofrecen”.
En el caso de los grupos organizados, existen aquellos que cuentan con respaldos gubernamentales y que, tal como mencionamos en Tendencias 2019, utilizan herramientas más complejas para lograr sus objetivos, ya que cuentan con un presupuesto más generoso.
Si bien es muy difícil atribuir la autoría de una amenaza o un ataque a un grupo cibercriminal, y más aún a un Estado, ya que sería entrar en el terreno de lo especulativo, los investigadores de ESET han publicado a lo largo de este año los resultados de diversas investigaciones en las que se ha descubierto y analizado nuevos hallazgos. En este artículo, proponemos repasar algunas de las más interesantes investigaciones publicadas por los expertos del laboratorio de ESET a lo largo de 2018 sobre amenazas complejas que tenían como objetivo -al menos en algunos casos- blancos específicos y de gran relevancia, como son oficinas de organismos gubernamentales.
1. Nueva herramienta del grupo Turla utilizada para campañas que apuntan a embajadas y consulados
A comienzos de este año, investigadores de ESET descubrieron una nueva herramienta que el grupo Turla añadió a su arsenal y que busca engañar a las víctimas aprovechándose de un falso instalador de Flash para que instalen malware con el objetivo de obtener información sensible. Esta nueva herramienta ha sido utilizada en campañas que apuntan a embajadas y consulados en los estados.
La investigación completa puede verse aquí.
2. Nuevo backdoor del grupo OceanLotus
Este año los investigadores de ESET descubrieron un nuevo backdoor del grupo enfocado en realizar tareas de ciberespionaje, OceanLotus, que consiste en una herramienta que permite a sus operadores acceder de manera remota al equipo vulnerado. Este backdoor ha sido utilizado principalmente contra compañías y organismos gubernamentales del sudeste asiático; como son Vietnam, Filipinas, Laos y Camboya. Como parte de la investigación, los especialistas publicaron también un whitepaper donde se explica de forma detallada cómo trabaja este nuevo backdoor.
La investigación completa puede verse aquí.
3. Nuevas variantes de Zebrocy utilizada para ataques hacia embajadas y ministerios de distintos países
Investigadores de ESET analizaron una nueva variante de Zebrocy, un componente de una herramienta de espionaje propiedad del grupo Sednit que desde 2017 apareció de manera regular y que de acuerdo a los expertos está siendo actualizada de manera constante. Específicamente, Zebrocy es una familia de malware que comprende downloaders y backdoors que cumplen una misión en la primera etapa del malware para que luego entre en acción el principal backdoor de Sednit: Xagent.
La investigación completa puede verse aquí.
4. Nuevas tácticas, técnicas y procedimientos en la campaña Mosquito del grupo Turla
En julio de 2018 los especialistas de ESET publicaron un análisis de los últimos cambios en la última campaña denominada Mosquito del grupo Turla, el mismo grupo que en 2008 se hizo conocido cuando vulneró el Departamento de Defensa de los Estados Unidos. La campaña Mosquito ha sido utilizada frecuentemente con fines de espionaje. Si bien los cambios no presentan ninguna innovación técnica, ya que continúan aprovechándose de un falso instalador de Flash, indican un giro significativo en cuanto a la tácticas, técnicas y procedimientos (ITTP) hacia el uso de herramientas más genéricas, como es el uso de Metasploit como backdoor en la primera parte del ataque, en lugar de recurrir a una herramienta propia como puede ser Skipper.
La investigación completa puede verse aquí.
5. RAT utilizado para campañas de espionaje dirigidas a instituciones gubernamentales
Otro análisis publicado por los investigadores del laboratorio de ESET y que también incluye un whitepaper fue el de Vermin; una herramienta de acceso remoto (RAT) utilizada en una campaña de espionaje para infiltrarse en instituciones gubernamentales de Ucrania para extraer datos.
La investigación completa puede verse aquí.
6. Análisis del spyware InvisiMole
InvisiMole es un spyware dirigido a organismos gubernamentales que se mantuvo oculto durante al menos cinco años en computadoras pertenecientes a blancos de gran importancia de países como Ucrania y Rusia. Si bien en este caso no se sabe quienes son los actores maliciosos que la operan, esta herramienta de ciberespionaje cuenta con múltiples funciones, entre otras: la capacidad de controlar la webcam y el micrófono de la computadora infectada, además de realizar capturas de pantalla. De esta manera, InvisiMole tiene la capacidad de tomar fotografías de lo que ocurre en el ambiente donde está la computadora, así como también grabar el sonido ambiente. Por si fuera poco, realiza capturas de pantalla de cada una de las ventanas abiertas, sin importar que estén solapadas, y monitorea todos las unidades rígidas o removibles. Una vez recolectada la información, el malware envía todos los datos al atacante.
La investigación completa puede verse aquí.
7. Backdoor que se controla a través del correo y que es utilizado para espionaje
El grupo Turla utilizó un particular backdoor que fue analizado por el equipo de investigadores de ESET que tiene la particularidad de controlarse en su totalidad a través del correo. Según los expertos, este backdoor fue utilizado para campañas de espionaje dirigidas a instituciones europea. Entre sus víctimas está la Oficina del Ministerio de Asuntos Exteriores de Alemania (se utilizó durante casi todo el 2017), así como también las oficinas de asuntos exteriores de otros dos países europeos.
La particularidad de este backdoor es que en lugar de utilizar una infraestructura de comando y control (C&C) convencional, el backdoor es operado a través de mensajes de correo; más específicamente mediante archivos PDF especialmente diseñados como adjuntos.
Un análisis detallado de este backdoor puede verse aquí.
8. Descubren el primer rootkit de UEFI
En septiembre de este año, los investigadores de ESET publicaron un informe detallado (se incluye también un whitepaper) del descubrimiento del primer rootkit de UEFI, nombrado LoJax. Lo relevante de LoJax es que se trata del primer rootkit de UEFI que se descubre en uso, ya que hasta su hallazgo solo habían sido presentados como pruebas de concepto. Por otra parte, los rootkit de UEFI son especialmente peligrosos, ya que son difíciles de detectar y pueden permanecer en una computadora a pesar de la reinstalación del sistema operativo e incluso del reemplazo del disco rígido.
Este rootkit fue utilizado de manera exitosa por el grupo Sednit para afectar a ciertas organizaciones gubernamentales en los Balcanes, Europa Central y Europa del Este.
Un análisis completo de LoJax puede verse aquí.
9. GreyEnergy: la evolución de Blackenergy
Otra pieza de investigación que publicamos este año fue la del malware denominado GreyEnergy, aparentemente obra del grupo TeleBots, que según los especialistas es considerado el sucesor de sucesor del grupo de APT de BlackEnergy, el cual fue utilizado en 2015 para un ciberataque dirigido a una red eléctrica que que dejó sin suministro eléctrico a unas 230.000 personas en Ucrania. De acuerdo a los investigadores de ESET, la estructura del malware GreyEnergy presenta muchas similitudes con BlackEnergy y se cree que los actores maliciosos detrás de GreyEnergy se han centrado en tareas de espionaje y reconocimiento, muy probablemente como parte de la etapa de preparación para un futuro ataque o preparando el terreno para una operación en la que se ejecute otra herramienta maliciosa del grupo.
Un análisis completo de GreyEnergy puede verse aquí.
10. Nuevas familias de malware para Linux
En el mes de diciembre, los investigadores de ESET publicaron un whitepaper en el que se detalla el descubrimiento de 21 familias de malware para Linux basadas en OpenSSH. Todas las familias operan como versiones troyanizadas del cliente OpenSSH. Por otra parte, del análisis de estas 21 familias se desprende que 18 de ellas cuentan con una funcionalidad para el robo de credenciales que permite robar contraseñas y/o claves utilizadas por el servidor y cliente OpenSSH troyanizado, y que 17 de las 21 familias cuentan con un modo backdoor que ofrece a los atacantes una forma sigilosa y persistente de conectarse nuevamente con el equipo comprometido.
Un análisis completo de las 21 familias de malware para Linux, que además incluye un whitepaper, puede verse aquí.
Estas han sido solamente algunas de las principales investigaciones y análisis de amenazas complejas realizadas por el equipo de investigadores del laboratorio de ESET. Invitamos a los lectores a que continúen visitando WeLiveSecurity durante el 2019 para mantenerse al tanto de nuevas publicaciones que estaremos realizando.
