Campaña de Ciberespionaje Que Afecta Más de 100 Países.

Una campaña activa de ciberespionaje, llamada SafeNet, ha afectado a varias organizaciones en más de 100 países con ataques difundidos por email (spear-phishing) según acaban de publicar expertos de Trend Micro.

Sergio Méndez Galindo
22 de May · 586 palabras.

🕘 Resumen

SafeNet es el nombre de una operación de spear-phishing que ha afectado a agencias gubernamentales, empresas de tecnología, instituciones académicas y organizaciones no oficiales en más de 120 países. Se cree que más de 12,000 IP únicas se vieron afectadas por el malware, aunque solo 71 direcciones IP se comunicaron activamente con los servidores Command and Control de los atacantes cada día. Los expertos del laboratorio de seguridad informática Trend Micro han afirmado que el número real de víctimas es mucho menor que el de IPs únicas afectadas. SafeNet consta de dos campañas distintas de spear-phishing que usan el mismo tipo de malware, pero emplean diferentes infraestructuras de comando-control según el white paper publicado por Trend Micro. Los correos electrónicos enviados por SafeNet intentan engañar a la víctima para que abra el contenido adjunto que no es otro que un malware que se aprovecha de una vulnerabilidad conocida de la suite de Microsoft Office. Se encontraron varios documentos de Word vulnerados que, una vez abiertos, instalan silenciosamente una descarga de malware en el ordenador. Sin embargo, los investigadores aún no han identificado un tema común en los encabezados usados en la segunda campaña, que tuvo difusión en varios países tremendamente aleatorios.

La operación parece haber afectado agencias gubernamentales, firmas de tecnología, outlets de productos, instituciones académicas o de investigación y otras organizaciones no oficiales -según han escrito varios expertos de Trend Micro en su Blog Security Intelligence. Tren Micro cree que más de 12000 IPs únicas esparcidas en más de 120 países fueron infectadas con este malware. Sin embargo, solo 71 direcciones IP -de media- se comunicaron activamente con los servidores de Comando y Control de los atacantes cada día.

Por tanto, los expertos del laboratorio afirman que el número real de víctimas es mucho menor que el de IPs únicas afectadas. Sin embargo sólo existen especulaciones sobre el “por qué”.

Esta operación de nombre SafeNet no tiene relación alguna con la compañía de protección de datos SafeNet, según Wilhoit.

SafeNet se apoya en el Spear-phishing

SafeNet se compone de dos campañas distintas de spear phishing que usan el mismo tipo de malware, pero empleando diferentes infraestructuras de comando-control (o C&C) según el white paper de Trend Micro. Una de las campañas de phishing emplea temas como Mongolia o el Tíbet -de actualidad- referidas en el asunto de los emails. Los investigadores aún no han identificado un tema común en los encabezados usados en la segunda campaña, que ha tenido difusión en la India, Pakistán, EEUU, China, Filipinas, Rusia y Brasil.

Los emails enviados por SafeNet intentan engañar a la víctima para que abra el contenido adjunto, que no es otro que un malware que se aprovecha de una vulnerabilidad conocida de la suite de Microsoft Office, según Trend Micro.

Los expertos encontraron varios documentos de Word vulnerados que, una vez abiertos, instalan silenciosamente una descarga de malware en el ordenador. Esta vulnerabilidad de ejecución de código remoto de Office fué parcheada en Abril de 2012.

Detalles de la infraestructura

En la primera campaña, ordenadores de 243 direcciones Ip únicas en 11 países fueron conectadas con el servidor C&C. En la segunda campaña, ordenadores de 11563 direcciones IP únicas de unos 116 países diferentes se comunicaron con el servidor de control del atacante. India parece haber sido el país más afectado -4000 direcciones IP-.

Uno de los servidores de control fué desplegado de tal forma que cualquiera pudiera ver los contenidos de sus directorio. Como resultado de esto, los investigadores de Trend Micro pudieron determinar quienes eran las víctimas, además de poder descargarse el código fuente que había entre el malware y los centros de control. Observando el código empleado en los servidores, parece que los operadores reciclaron parte de un código perteneciente a un proveedor de servicios (ISP) de China.

Los atacantes estuvieron conectados a los C&Cs por medio de VPN y usando la red Tor, haciendo difícil determinar su localización.

Los atacantes podrían haber usado malware chino

Basándose en varias pistas encontradas en el código fuente, desde Trend Micro sugieren que es posible que el malware haya sido desarrollado en China. Lo que no se conoce es si este malware fué comprado allí o desarrollado por ellos.

“Mientras que determinar los objetivos e identidades de los atacantes resulta difícil, hemos llegado a la conclusión de que esta campaña está dirigida y usa malware desarrollado por un ingeniero profesional de software que podría estar conectado a los bajos fondos de la red en China”, escribieron los investigadores en su blog.

Programas PC y software para acelerar el pc en nuestra web Mejor Antivirus

Comparte tu conocimiento y tus intereses con el mundo.