Internet Software 

Últimas tácticas del ciberespionaje: complejidad y modularidad versus funcionalidad

Kaspersky Lab ha descubierto que el ciberespionaje patrocinado por Estados-nación es cada vez más sofisticado, se enfoca en usuarios cuidadosamente definidos y utiliza herramientas complejas modulares, y se mantiene oculto a los sistemas de detección cada vez más eficientes.

Esta nueva tendencia se confirmó durante un análisis detallado de la plataforma de ciberespionaje EquationDrug. Los especialistas de Kaspersky Lab encontraron que, después del éxito creciente de la industria para exponer a grupos de amenazas persistentes avanzadas (APT), los actores de las amenazas más sofisticadas ahora se centran en aumentar el número de componentes en su plataforma maliciosa para llamar menos la atención y aumentar su sigilo.

Las últimas plataformas ahora están compuestas de muchos módulos complemento que les permite seleccionar y realizar una amplia gama de funciones, dependiendo de su objetivo y de la información que contienen. Kaspersky Lab estima que EquationDrug incluye 116 complementos  diferentes.

«Los Estados-nación atacantes buscan mejor estabilidad, invisibilidad, fiabilidad y universalidad en sus herramientas de ciberespionaje. Están enfocados en crear infraestructuras que envuelvan tal código en algo que se pueda personalizar en sistemas vivos y que proporcionen una manera segura para almacenar todos los componentes y datos en forma cifrada, inaccesible para los usuarios regulares», explica Costin Raiu, Director del Equipo de Análisis e Investigación Global de Kaspersky Lab. «La sofisticación de la infraestructura hace que este tipo de actor sea diferente de los ciberdelincuentes tradicionales, ya que prefiere enfocarse en la carga y en las capacidades del malware que están diseñadas para obtener ganancias financieras directas». 

Otras formas en que estos Estados-nación atacantes diferencian sus tácticas de los ciberdelincuentes tradicionales incluyen:

  • Escala. Los ciberdelincuentes tradicionales distribuyen en forma masiva correos electrónicos con archivos adjuntos maliciosos o infectan sitios web a gran escala, mientras que los actores Estados-nación prefieren ataques quirúrgicos altamente selectivos, que infecten sólo a un puñado de usuarios seleccionados.
  • Enfoque individual. Mientras que los ciberdelincuentes típicos utilizan de manera reiterada código fuente públicamente disponible como por ejemplo los Troyanos Zeus o Carberb, los actores Estados-nación construyen malware único y personalizado, e incluso implementan restricciones que evitan el descifrado y la ejecución fuera de la computadora objetivo.
  • Extracción de información valiosa. Los ciberdelincuentes en general intentan infectar a tantos usuarios como sea posible. Sin embargo, no tienen el tiempo o el espacio de almacenamiento para revisar manualmente todas las máquinas que infectan y saber quienes son los propietarios, qué tipo de datos tienen almacenados y qué tipo de software están ejecutando – para luego transferir y almacenar todos los datos potencialmente interesantes.
    • Como resultado codifican malware todo en uno que extraerá sólo los datos más valiosos como números de contraseñas y de tarjetas de crédito de las máquinas de las víctimas – actividad que rápidamente llamará la atención de cualquier software de seguridad instalado.
    • Por otro lado, los Estados-nación atacantes tienen los recursos para almacenar todos los datos que sean necesarios. Para esquivar la atención y mantenerse invisibles para el software de seguridad, tratan de evitar la infección de usuarios al azar y en lugar de eso dependen de una herramienta genérica de administración remota del sistema que pueda copiar cualquier información que pudieran necesitar y en cualquier cantidad.  Sin embargo, esto podría funcionar en su contra ya que la movilización de grandes cantidades de datos podría hacer muy lenta la conexión de la red y despertar sospechas.

«Puede parecer inusual que una plataforma de ciberespionaje tan poderosa como EquationDrug no proporcione la capacidad de robar la contraseña de Skype o ICQ como estándar en su núcleo de malware. La respuesta es que prefieren copiar una base de datos en total y hacer el análisis sintáctico en el lado servidor. Sólo si han escogido vigilarlo a usted activamente y los productos de seguridad en sus máquinas han sido desarmados, recibirá un complemento (plugin) para rastrear en vivo sus conversaciones. Creemos que esto llegará a ser una marca registrada extraordinaria de Estados-nación atacantes en el futuro», concluye Costin Raiu. 

EquationDrug es la principal plataforma de espionaje desarrollada por el Grupo Equation.  Ha estado en uso por más que una década aunque ahora sea reemplazada en gran parte por la plataforma aún más sofisticada GrayFish.  Las tendencias en tácticas confirmadas por el análisis de EquationDrug fueron observadas por primera vez por Kaspersky Lab durante su investigación de las campañas de ciberespionaje Careto y Regin, entre otras.

Para leer acerca de la última investigación de la plataforma EquationDrug, por favor visite Securelist.com.

Acerca de Kaspersky Lab

Kaspersky Lab es el proveedor privado más grande del mundo de soluciones de protección para endpoints. La compañía está clasificada entre los cuatro principales proveedores de soluciones de seguridad para los usuarios de endpoints*. Durante sus ya más de 17 años de historia, Kaspersky Lab continúa siendo una compañía innovadora en la seguridad informática y ofrece soluciones efectivas en seguridad digital para las grandes compañías, pequeñas y medianas empresas y consumidores. Kaspersky Lab, a través de su compañía de holding registrada en el Reino Unido, opera actualmente en casi 200 países y territorios en todo el mundo, ofreciendo protección para más de 300 millones de usuarios a nivel global. Para obtener mayor información, visite http://latam.kaspersky.com.

*La compañía logró el cuarto lugar en la clasificación IDC de los Ingresos por Seguridad de Endpoints en el Mundo por Proveedor, 2013. La clasificación fue publicada en el reporte IDC del «Pronóstico Mundial de Endpoint Security 2014-2018 y Acciones de Proveedores 2013» – (IDC #250210, agosto de 2014). El reporte calificó a los proveedores de software según sus ganancias por las ventas de soluciones de seguridad de endpoint en 2013.

Relacionados

Dejar un comentario

Abrir chat
Escanea el código
Hola 👋
¿En qué podemos ayudarte?