Campaña de Ciberespionaje Que Afecta Más de 100 Países.

Una campaña activa de ciberespionaje, llamada SafeNet, ha afectado a varias organizaciones en más de 100 países con ataques difundidos por email (spear-phishing) según acaban de publicar expertos de Trend Micro.

Sergio Méndez Galindo
Sergio Méndez Galindo
22 de May · 586 palabras.
La operaci√≥n parece haber afectado agencias gubernamentales, firmas de tecnolog√≠a, outlets de productos, instituciones acad√©micas o de investigaci√≥n y otras organizaciones no oficiales -seg√ļn han escrito varios expertos de Trend Micro en su Blog Security Intelligence. Tren Micro cree que m√°s de 12000 IPs √ļnicas esparcidas en m√°s de 120 pa√≠ses fueron infectadas con este malware. Sin embargo, solo 71 direcciones IP -de media- se comunicaron activamente con los servidores de Comando y Control de los atacantes cada d√≠a.

Por tanto, los expertos del laboratorio afirman que el n√ļmero real de v√≠ctimas es mucho menor que el de IPs √ļnicas afectadas. Sin embargo s√≥lo existen especulaciones sobre el ‚Äúpor qu√©‚ÄĚ.

Esta operaci√≥n de nombre SafeNet no tiene relaci√≥n alguna con la compa√Ī√≠a de protecci√≥n de datos SafeNet, seg√ļn Wilhoit.

SafeNet se apoya en el Spear-phishing

SafeNet se compone de dos campa√Īas distintas de spear phishing que usan el mismo tipo de malware, pero empleando diferentes infraestructuras de comando-control (o C&C) seg√ļn el white paper de Trend Micro. Una de las campa√Īas de phishing emplea temas como Mongolia o el T√≠bet -de actualidad- referidas en el asunto de los emails. Los investigadores a√ļn no han identificado un tema com√ļn en los encabezados usados en la segunda campa√Īa, que ha tenido difusi√≥n en la India, Pakist√°n, EEUU, China, Filipinas, Rusia y Brasil.

Los emails enviados por SafeNet intentan enga√Īar a la v√≠ctima para que abra el contenido adjunto, que no es otro que un malware que se aprovecha de una vulnerabilidad conocida de la suite de Microsoft Office, seg√ļn Trend Micro.

Los expertos encontraron varios documentos de Word vulnerados que, una vez abiertos, instalan silenciosamente una descarga de malware en el ordenador. Esta vulnerabilidad de ejecución de código remoto de Office fué parcheada en Abril de 2012.

Detalles de la infraestructura

En la primera campa√Īa, ordenadores de 243 direcciones Ip √ļnicas en 11 pa√≠ses fueron conectadas con el servidor C&C. En la segunda campa√Īa, ordenadores de 11563 direcciones IP √ļnicas de unos 116 pa√≠ses diferentes se comunicaron con el servidor de control del atacante. India parece haber sido el pa√≠s m√°s afectado -4000 direcciones IP-.

Uno de los servidores de control fué desplegado de tal forma que cualquiera pudiera ver los contenidos de sus directorio. Como resultado de esto, los investigadores de Trend Micro pudieron determinar quienes eran las víctimas, además de poder descargarse el código fuente que había entre el malware y los centros de control. Observando el código empleado en los servidores, parece que los operadores reciclaron parte de un código perteneciente a un proveedor de servicios (ISP) de China.

Los atacantes estuvieron conectados a los C&Cs por medio de VPN y usando la red Tor, haciendo difícil determinar su localización.

Los atacantes podrían haber usado malware chino

Basándose en varias pistas encontradas en el código fuente, desde Trend Micro sugieren que es posible que el malware haya sido desarrollado en China. Lo que no se conoce es si este malware fué comprado allí o desarrollado por ellos.

‚ÄúMientras que determinar los objetivos e identidades de los atacantes resulta dif√≠cil, hemos llegado a la conclusi√≥n de que esta campa√Īa est√° dirigida y usa malware desarrollado por un ingeniero profesional de software que podr√≠a estar conectado a los bajos fondos de la red en China‚ÄĚ, escribieron los investigadores en su blog.

Programas PC y software para acelerar el pc en nuestra web Mejor Antivirus

Comparte tu conocimiento y tus intereses con el mundo.

Publica un artículo →