Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
02/10/2013
Peligro: 'hackers' en venta
Lo último en amenazas a la seguridad son los grupos de cibermercenarios que realizan ataques rápidos y precisos para robar información confidencial de empresas y gobiernos.
Los cibermercenarios están detrás de los ataques informáticos más recientes. Son profesionales altamente cualificados que ejecutan golpes rápidos y precisos contra organizaciones empresariales y gubernamentales. Hacen trabajos por encargo para robar información sensible de objetivos de alto nivel. Realizan operaciones de ciberespionaje empleando herramientas informáticas a medida. Operan de forma independiente en equipos con reparto de tareas, y entre sus clientes figuran tanto gobiernos como empresas.
Pequeños grupos de cibermercenarios especializados en asaltos relámpago son la última tendencia de las amenazas de seguridad. Infectan los sistemas informáticos con códigos maliciosos (malware). Localizan y copian la información con precisión quirúrgica. Los ataques duran unos días o unas semanas y, en cuanto consiguen los datos deseados, se marchan. Su campo de operaciones es mundial y abarca cualquier fuente de información valiosa para aquellos que los contratan.
De todos modos, los objetivos más castigados están relacionados con las finanzas, las tecnologías de información y comunicación, los gobiernos, los operadores de telecomunicaciones y los medios de comunicación. También están interesados en los suministradores de la industria de defensa. Los últimos grupos descubiertos (Icefog y Hidden Lynx) actúan desde Asia, principalmente desde China.
Icefog, la campaña contra proveedores sucoreanos y japoneses
Icefog es un grupo de cibermercenarios que atacan a los suministradores de empresas occidentales en Corea del Sur y Japón. Su origen se remonta al año 2011, como mínimo, y sus actividades han aumentado recientemente. Expertos de la compañía de seguridad Kaspersky Lab descubrían su existencia cuando investigaban una muestra de mensaje de correo eléctronico con un adjunto infectado, enviada por la cadena de televisión japonesa Fuji TV. Durante el análisis, detectaron que era una nueva versión del código malicioso empleado durante al ataque al Parlamento Japonés en 2011.
Icefog funciona como una puerta trasera de espionaje directamente controlada por los cibermercenarios mediante un troyano de acceso remoto. La herramienta no extrae los datos automáticamente, sino que los atacantes operan manualmente y a distancia sobre el sistema infectado. La vía de distribución es mediante mensajes de correo electrónico que contienen un fichero adjunto con malware o un enlace a un sitio web malicioso; es la llamada técnica de phising. Si el destinatario del e-mail abre el adjunto o hace clic en el enlace, el ordenador de la víctima queda infectado.
El modus operandi de Icefog consiste en montar un servidor de mando y control, crear un malware que lo use, y distribuirlo para infectar el ordenador de la víctima. Luego se comunican con el ordenador infectado, roban la información y se marchan. Por ahora, se les atribuye la autoría de una veintena de ataques entre 2011 y julio de 2013, de los cuales la mitad se han producido durante este año. Las operaciones duran una media de dos semanas.
Pueden amplicar la noticia en el siguiente enlace.