APT
PUNTA CANA – Un grupo de hackers, respaldado probablemente por un gobierno nacional desconocido, ha estado atacando agencias gubernamentales, embajadas, oficinas diplomáticas y compañías energéticas de distintos países del mundo, por más de siete años. Investigadores de Kaspersky Lab denominaron a estos ataques como “la campaña de APT (Amenazas persistentes avanzadas, por su sigla en inglés) más sofisticada” que hayan visto.
Según reveló ayer Kaspersky Lab en la Cumbre de Analistas de Seguridad que se celebró en República Dominicana, la amenaza lleva el nombre de “Careta”, es decir, “cara fea” o “máscara”.
Esta campaña generó cierta preocupación entre la población porque demuestra claramente que los atacantes calificados están perfeccionando su oficio y mejorando sus capacidades de infectar, espiar y robar información de blancos muy específicos. También es preocupante que Careta haya existido “por fuera del radar”, es decir, silenciosamente interceptando datos sensitivos desde 2007. No obstante, Costin Raiu, director de Kaspersky Lab Global Research and Analysis Team, aseguró que los investigadores nunca encontraron pruebas de que los hackers hayan tratado de atacar una vulnerabilidad de una versión antigua de un producto Kaspersky.
“Atacar a los productos de Kaspersky es algo muy imprudente”, dijo Raiu en la presentación del informe sobre Careta.
Las campañas de APT , están generalmente diseñadas para infectar máquinas de personas con acceso a redes muy específicas y codiciadas. La mayoría de las agencias gubernamentales son compañías energéticas. En otras palabras, los atacantes no están interesados en un vasto número de personas. Otra razón para mermar las preocupaciones de la población radica en que, quienquiera que sea el responsable de esta campaña, cesó el ataque apenas unas horas después de que los Investigadores de Kaspersky Lab Global Research and Analysis Team publicaran el avance de la campaña APT.
Según informaron desde la compañía, los investigadores de Kaspersky lograron arrebatarles a los atacantes alrededor de 90 dominios de comando y control. Raiu explicó que luego de que se realizara la publicación, los operadores de Careta cesaron todos sus ataques, apenas 4 horas después. El proceso de apoderarse de los dominios se denomina “Sinkhole” y consiste en la toma de control de los botnets y los malware de la infraestructura de comunicación y el redireccionamiento del tráfico lejos de los servidores maliciosos que controlan la campaña.
Sin embargo, Raiu advirtió que los atacantes “podrían revivir la operación y volver rápidamente, si quisieran”.
La campaña APT de Careta es destacable por varias razones. En primer lugar, parece no tener ninguna conexión con China, país en el que se originaron este tipo ataques. Asimismo es importante destacar que, al parecer, los hackers encargados de dirigir la campaña son de habla hispana. Esto, no obstante, no debería resultar sorprendente, ya que existen alrededor de 400 millones de personas que hablan Español en el mundo. Los blancos de la campaña de Careta son también predominantemente de habla hispana, aunque ubicados en más de 30 países diferentes.
Por otra parte, se dice que este grupo de hackers posee en su arsenal de varias versiones del malware de Careta listas para utilizar en equipos Mac OS X, Linux y dispositivos móviles de Android y iOS. Al menos una víctima de Marruecos tenía un dispositivo que se estaba comunicando con la infraestructura C&C desde una red 3G móvil, explicó Raiu.
“Por la forma en que manejan su infraestructura, se puede decir que estos muchachos son mejores que los del grupo APT Flame”, dijo Raiu. “Su velocidad y profesionalismo está muy lejos de lo que era capaz Flame o cualquier otro que hayamos visto antes”.
Flame fue otra campaña APT descubierta por los investigadores de Kaspersky en 2012, que atacó países del medio oriente y generó certificados digitales fraudulentos que aparentaban provenir directamente de Microsoft.
Los hackers de Careta atacaron a sus víctimas con mails spear-phishing que los llevaban a sitios web maliciosos donde se almacenaban exploits. Los sitios se cargaban con los exploits y solo eran accesibles desde los los enlaces directos que los atacantes les enviaban a sus víctimas.
Según Raiu, los criminales tenían una serie de herramientas a su disposición que les permitían interceptar los protocolos de comunicación TCP y UDP en tiempo real y permanecer invisibles en las máquinas comprometidas. Raiu afirmó que todas las comunicaciones entre las víctimas y los servidores C&C estaban encriptadas.
Traducido por: Guillermo Vidal Quinteiro
