Guerra de espías: Estados-nación respaldan a agentes de amenazas para hackear a otros grupos
Agentes de amenazas avanzados están hackeando de manera activa a otros grupos de ataque para robar datos de las víctimas, tomar prestadas herramientas y técnicas, y reutilizar entre ellos su infraestructura, dificultando a los investigadores de seguridad la obtención de inteligencia para combatir estas amenazas, según el Equipo Global de Investigación y Análisis de Kaspersky Lab (GReAT, por sus siglas en inglés).
Agentes de amenazas avanzados están hackeando de manera activa a otros grupos de ataque para robar datos de las víctimas, tomar prestadas herramientas y técnicas, y reutilizar entre ellos su infraestructura, dificultando a los investigadores de seguridad la obtención de inteligencia para combatir estas amenazas, según el Equipo Global de Investigación y Análisis de Kaspersky Lab (GReAT, por sus siglas en inglés).
Obtener inteligencia acertada contra las amenazas se basa en la identificación de patrones y herramientas que señalan a un agente de amenazas particular. Dichos conocimientos permiten a los investigadores asignar mejor las metas, los objetivos y los comportamientos de los diferentes atacantes, así como ayudar a las organizaciones a determinar su nivel de riesgo. Cuando los agentes de amenazas comienzan a hackearse entre ellos y a apropiarse de las herramientas, la infraestructura e incluso las víctimas del otro, este modelo se derrumba rápidamente.
Kaspersky Lab cree que tales ataques posiblemente sean implementados principalmente por grupos respaldados por estados-nación, y dirigidos a agentes extranjeros o menos competentes. Es importante que los investigadores de seguridad de TI aprendan a detectar e interpretar los signos de estos ataques, para que puedan presentar su inteligencia en su contexto.
En una revisión detallada de las oportunidades de estos ataques, los investigadores del equipo Global de Investigación y Análisis de Kaspersky Lab identificaron dos estrategias principales: uno pasivo y otro activo. Los ataques pasivos implican interceptar los datos en tránsito de otros grupos, por ejemplo, cuando se mueven entre las víctimas y los servidores de mando y control, estos son casi imposibles de detectar. El enfoque activo implica infiltrarse en la infraestructura maliciosa de otro agente de amenazas.
Existe un mayor riesgo de detección en la estrategia activo, pero también ofrece más beneficios, ya que permite al atacante extraer información de manera regular, controlar su objetivo y sus víctimas, e incluso inyectar sus propios implantes o montar ataques en nombre de su víctima. El éxito de los ataques activos depende en gran medida de que el objetivo cometa errores en la seguridad operacional.
El equipo GReAT ha encontrado una serie de artefactos extraños e inesperados al investigar a agentes de amenaza específicos que sugieren que estos ataques activos ya están ocurriendo públicamente.
Los ejemplos incluyen:
1. Backdoors instaladas en la infraestructura de control y mando (C&C) de otra entidad
La instalación de un backdoor o puerta trasera en una red hackeada permite a los atacantes permanecer dentro de las operaciones de otro grupo. Los investigadores de Kaspersky Lab han encontrado lo que parecen ser dos ejemplos de estas puertas traseras.
Uno de ellos fue encontrado en 2013, cuando se analizaba un servidor utilizado por NetTraveler, una campaña en idioma chino dirigida a activistas y organizaciones en Asia. La segunda fue encontrada en 2014, cuando se investigaba un sitio web hackeado y usado por Crouching Yeti (también conocido como Energetic Bear), un agente de amenazas en idioma ruso que ataca al sector industrial desde 2010. Los investigadores notaron que, durante un breve período de tiempo, el panel de administración de la red C&C fue modificado con una etiqueta que apuntaba a una dirección IP remota en China (probablemente una señal falsa). Los investigadores creen que esto también era una puerta trasera perteneciente a otro grupo, aunque no hay indicadores de quién podría ser.
2. Compartir sitios web hackeados
En 2016, los investigadores de Kaspersky Lab descubrieron que un sitio web infectado por el DarkHotel de idioma coreano también alojó secuencias de mandos de ataques para otro atacante objetivo, al que el equipo llamó ScarCruft, un grupo dirigido principalmente a organizaciones rusas, chinas y coreanas. La operación DarkHotel se remonta desde abril de 2016, mientras que los ataques ScarCruft se implementaron un mes después, lo que sugiere que ScarCruft pudo haber observado los ataques DarkHotel antes de lanzar el suyo propio.
3. Objetivo por proxy
La infiltración de un grupo con un interés particular en determinada región o sector de la industria permite al atacante reducir los costos y afinar el objetivo, beneficiándose así de la experiencia especializada de su víctima.
Algunos agentes de amenazas, más que robarlas, comparten víctimas. Este es un enfoque arriesgado si uno de los grupos es menos avanzado y lo descubren, ya que el inevitable análisis forense que sigue también revelará a los otros intrusos. En noviembre de 2014, Kaspersky Lab informó que un servidor perteneciente a una institución de investigación en Medio Oriente, conocido como el Magnet of Threats, alojó simultáneamente implantes para los agentes de amenazas altamente avanzados Regin y Equation Group (de idioma inglés), Turla e ItaDuke (en ruso), así como Animal Farm (en francés) y Careto (en español). De hecho, este servidor fue el punto de partida para el descubrimiento del Equation Group.
"En el mejor de los casos, atribuir es difícil, ya que las pistas son poco comunes y fáciles de manipular, y ahora también tenemos que tener en cuenta el impacto de los agentes de amenazas que se están hackeando entre ellos. A medida que más grupos se aprovechan de las herramientas, víctimas e infraestructura de otros, insertan sus propios implantes o adoptan la identidad de su víctima para montar nuevos ataques, ¿dónde deja eso a los cazadores de amenazas que intentan construir un panorama claro y preciso? Nuestros ejemplos indican que algo de esto ya está ocurriendo y los investigadores de inteligencia contra amenazas necesitarán hacer una pausa y adaptar su manera de pensar en lo que respecta a analizar el trabajo de los agentes de amenaza avanzados", dijo Juan Andrés Guerrero-Saade, Investigador Senior de seguridad del Equipo Global de Investigación y Análisis, en Kaspersky Lab.
Para mantenerse al día con este panorama de amenazas que evoluciona rápidamente, Kaspersky Lab recomienda a las empresas implementar una plataforma de seguridad a gran escala combinada con inteligencia de vanguardia contra las amenazas. La cartera de soluciones de seguridad empresarial de Kaspersky Lab ofrece a las organizaciones la prevención contra amenazas a través de su más reciente suite de seguridad, detección basada en la plataforma Kaspersky Anti Targeted Attack y la predicción y respuesta a incidentes por medio de sus servicios de inteligencia contra amenazas.
Para más detalles sobre las maneras en que los agentes de amenazas adquieren y reutilizan elementos de otros grupos, incluso la reutilización de herramientas y el clustering de malware, así como sus ramificaciones para la inteligencia de amenazas, por favor visite: Securelist
Para obtener más información acerca de los informes privados de inteligencia de Kaspersky Lab, póngase en contacto con: intelreports@kaspersky.com
Guerra de espías: Estados-nación respaldan a agentes de amenazas para hackear a otros grupos
Kaspersky
Artículo relacionado Noticias sobre virus
Kaspersky Lab: más de 400 empresas industriales fueron blanco de ataques de spear-phishing
Los investigadores de Kaspersky Lab han detectado una nueva ola de correos electrónicos de spear phishing diseñados para generar dinero a los ciberdelincuentes.LEER MÁS >La nueva variante del ransomware SynAck utiliza la compleja técnica de Doppelgänging para evadir su detección
Los investigadores de Kaspersky Lab descubrieron una nueva variante del ransomware troyano SynAck, que utiliza la técnica de Doppelgänging para eludir la protección antivirus ocultándose en procesos legítimos.LEER MÁS >Amenaza oculta: ciberdelincuentes esconden programas mineros en apps de fútbol y VPN
Los investigadores de Kaspersky Lab han descubierto que cada vez más ciberdelincuentes centran su atención en software malicioso que extrae criptomonedas a expensas de los dispositivos móviles de los usuarios.LEER MÁS >