Kaspersky Lab ha descubierto que el ciberespionaje patrocinado por Estados-nación es cada vez más sofisticado, se enfoca en usuarios cuidadosamente definidos y utiliza herramientas complejas modulares, y se mantiene oculto a los sistemas de detección cada vez más eficientes.
Esta nueva tendencia se confirmó durante un análisis detallado de la plataforma de ciberespionaje EquationDrug. Los especialistas de Kaspersky Lab encontraron que, después del éxito creciente de la industria para exponer a grupos de amenazas persistentes avanzadas (APT), los actores de las amenazas más sofisticadas ahora se centran en aumentar el número de componentes en su plataforma maliciosa para llamar menos la atención y aumentar su sigilo.
Las últimas plataformas ahora están compuestas de muchos módulos complemento que les permite seleccionar y realizar una amplia gama de funciones, dependiendo de su objetivo y de la información que contienen. Kaspersky Lab estima que EquationDrug incluye 116 complementos diferentes.
"Los Estados-nación atacantes buscan mejor estabilidad, invisibilidad, fiabilidad y universalidad en sus herramientas de ciberespionaje. Están enfocados en crear infraestructuras que envuelvan tal código en algo que se pueda personalizar en sistemas vivos y que proporcionen una manera segura para almacenar todos los componentes y datos en forma cifrada, inaccesible para los usuarios regulares", explica Costin Raiu, Director del Equipo de Análisis e Investigación Global de Kaspersky Lab. "La sofisticación de la infraestructura hace que este tipo de actor sea diferente de los ciberdelincuentes tradicionales, ya que prefiere enfocarse en la carga y en las capacidades del malware que están diseñadas para obtener ganancias financieras directas".
Otras formas en que estos Estados-nación atacantes diferencian sus tácticas de los ciberdelincuentes tradicionales incluyen:
"Puede parecer inusual que una plataforma de ciberespionaje tan poderosa como EquationDrug no proporcione la capacidad de robar la contraseña de Skype o ICQ como estándar en su núcleo de malware. La respuesta es que prefieren copiar una base de datos en total y hacer el análisis sintáctico en el lado servidor. Sólo si han escogido vigilarlo a usted activamente y los productos de seguridad en sus máquinas han sido desarmados, recibirá un complemento (plugin) para rastrear en vivo sus conversaciones. Creemos que esto llegará a ser una marca registrada extraordinaria de Estados-nación atacantes en el futuro", concluye Costin Raiu.
EquationDrug es la principal plataforma de espionaje desarrollada por el Grupo Equation. Ha estado en uso por más que una década aunque ahora sea reemplazada en gran parte por la plataforma aún más sofisticada GrayFish. Las tendencias en tácticas confirmadas por el análisis de EquationDrug fueron observadas por primera vez por Kaspersky Lab durante su investigación de las campañas de ciberespionaje Careto y Regin, entre otras.
Para leer acerca de la última investigación de la plataforma EquationDrug, por favor visite Securelist.com.
Acerca de Kaspersky Lab
Kaspersky Lab es el proveedor privado más grande del mundo de soluciones de protección para endpoints. La compañía está clasificada entre los cuatro principales proveedores de soluciones de seguridad para los usuarios de endpoints*. Durante sus ya más de 17 años de historia, Kaspersky Lab continúa siendo una compañía innovadora en la seguridad informática y ofrece soluciones efectivas en seguridad digital para las grandes compañías, pequeñas y medianas empresas y consumidores. Kaspersky Lab, a través de su compañía de holding registrada en el Reino Unido, opera actualmente en casi 200 países y territorios en todo el mundo, ofreciendo protección para más de 300 millones de usuarios a nivel global. Para obtener mayor información, visite http://latam.kaspersky.com.
*La compañía logró el cuarto lugar en la clasificación IDC de los Ingresos por Seguridad de Endpoints en el Mundo por Proveedor, 2013. La clasificación fue publicada en el reporte IDC del "Pronóstico Mundial de Endpoint Security 2014-2018 y Acciones de Proveedores 2013" - (IDC #250210, agosto de 2014). El reporte calificó a los proveedores de software según sus ganancias por las ventas de soluciones de seguridad de endpoint en 2013.