Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
22/08/2014
Kaspersky Lab descobrix una campanya de ciberespionatge centrada a Amèrica Llatina
Kaspersky Lab ha anunciat el descobriment d’una nova campanya de ciberespionatge amb el nom clau de 'Matxet', la qual s’ha dirigit a víctimes d’alt perfil, incloent-hi governs, forces militars, ambaixades i les forces de l’orde des de fa almenys 4 anys.
El camp principal de la seua operació ha sigut Amèrica Llatina: la majoria de les víctimes pareixen estar ubicades a Veneçuela, Equador i Colòmbia. Entre altres països afectats es troben Rússia, Perú, Cuba i Espanya. L’objectiu dels atacants és recopilar informació sensible de les organitzacions compromeses – fins ara és possible que els atacants hagen pogut robar gigabytes de dades confidencials reeixidament.
“A pesar de la simplicitat de les ferramentes utilitzades en esta campanya, són molt eficaces, vistos els resultats. Pareix que els cibercriminals d’Amèrica Llatina estan adoptant les pràctiques dels seus col·legues en altres regions. Anticipem que el nivell tecnològic dels cibercriminals locals augmentarà considerablement, per la qual cosa, probablement, noves campanyes d’atacs dirigits poden arribar a ser molt semblants, des del punt de vista tècnic, a aquelles considerades com les més sofisticades del món. El millor consell és pensar en la seguretat d’una manera global i deixar de pensar que els països llatinoamericans estan lliures d’este tipus d’amenaces”, va dir Dmitry Bestuzhev, director de l’Equip d’Investigació i Anàlisi per a Amèrica Llatina en Kaspersky Lab.
La campanya Matxet pareix haver començat en el 2010 i actualitzada amb la infraestructura actual en el 2012. Els ciberdelinqüents utilitzen tècniques d’enginyeria social per a distribuir el programari maliciós. En alguns casos, els atacants han utilitzat missatges de pesca dirigits (spear-phishing), en altres pesques dirigides combinat amb infeccions via la web, especialment per mitjà de la creació de blogs falsos prèviament preparats. De moment no hi ha indicis de l’ús d’exploits de vulnerabilitats de dia zero. Tots els artefactes tècnics trobats en esta campanya (com ara ferramentes de ciberespionatge i el codi del costat del client) tenen una baixa sofisticació tècnica en comparació amb altres campanyes dirigides a nivell mundial. A pesar d’esta simplicitat, experts de Kaspersky Lab ja han trobat 778 víctimes al món.
Amb base en l’evidència descoberta durant la investigació de Kaspersky Lab, els experts van concloure que els atacants de la campanya pareixen parlar espanyol, i tindre arrels en algun lloc d’Amèrica Llatina. A més, la majoria dels seus blancs, majoritàriament, estaven en països de Llatinoamèrica. A vegades l’interés establit estava geogràficament fora de la regió però encara estava connectat amb llatinoamericana. Per exemple, a Rússia el blanc pareixia ser una ambaixada d’un dels països d’Amèrica Llatina.
La ferramenta de ciberespionatge trobada en els ordinadors infectats és capaç de realitzar diverses funcions i operacions, com la còpia d’arxius a un servidor remot o un dispositiu USB especial (si està inserit), el segrest del contingut del portapapers, clau de registre, la captura d’àudio des del micròfon de l’equip, realitzar captures de pantalla, obtindre dades de geolocalització, realitzar fotos amb la càmera web en les màquines infectades.
La campanya té una característica tècnica inusual: l’ús del codi de llenguatge Python compilat en arxius executables de Windows – açò no té cap avantatge per als atacants, excepte la facilitat de la codificació. Les ferramentes no mostren signes de suport multiplataforma ja que el codi és fortament orientat a Windows; no obstant això, els experts de Kaspersky han descobert unes quantes pistes que donen un indici que els atacants han preparat la infraestructura per a víctimes que utilitzen OSX i Unix. A més dels components de Windows, s'han descobert també senyals d’un component mòbil per a Android.
Kaspersky recalca que la millor protecció contra campanyes de ciberespionatge com ara Matxet és aprendre com el spear-phishing funciona i no caure en les seues trampes, així com comptar amb una solució de seguretat funcional i actualitzada.