Espionaje industrial: se descubren nuevas herramientas contra empresas industriales

15 octubre, 2020
7 Compartido 1,214 Visualizaciones

SAS@Home ha examinado el panorama mundial de las ciberamenazas de la mano de diversos expertos en seguridad

El equipo de investigación de Kaspersky ha descubierto una serie de ataques muy selectivos que se vienen realizando contra empresas industriales desde el año 2018. Este tipo de ataques contra las compañías del sector industrial es mucho menos frecuente en el contexto de las APT que los realizados contra las entidades diplomáticas y otros perfiles políticos. El conjunto de herramientas utilizado (denominado MT3 por los propios autores del malware) ha sido bautizado por Kaspersky como «MontysThree». Montys Three emplea diversas técnicas para evitar su detección, entre ellas el alojamiento de sus comunicaciones con el servidor de control en servicios públicos en la nube y el ocultamiento del módulo malicioso principal por medio de la esteganografía.

Las instituciones gubernamentales, los funcionarios públicos y los operadores de telecomunicaciones son, por lo general, el objetivo preferido de las APT, ya que estos individuos e instituciones disponen por naturaleza de una gran cantidad de información de carácter confidencial y muy sensible desde un punto de vista político. No obstante, resulta mucho más extraño que las campañas de espionaje se dirijan contra empresas industriales, aunque, al igual que sucede con cualquier otro tipo de ataque contra una empresa, pueden tener nefastas consecuencias. Por ello, nada más detectar la actividad de MontysThree, los investigadores de Kaspersky empezaron a seguir su actividad. 

MontysThree despliega un malware compuesto por cuatro módulos. El primero de ellos, el cargador, se propaga al principio utilizando archivos RAR SFX (archivos autoextraíbles) que incluyen nombres relacionados con los contactos de los empleados, documentación técnica y resultados médicos con el objetivo de engañar a los empleados y conseguir que descarguen los archivos maliciosos, un método común de spear phishing. El cargador es el encargado de asegurarse de que el malware no es detectado en el sistema. Para ello, emplea una técnica conocida como esteganografía.

Los ciberdelincuentes utilizan la esteganografía para ocultar el intercambio de datos. En el caso de MontysThree, la descarga maliciosa principal está disfrazada como un archivo bitmap (un formato destinado al almacenamiento de imágenes digitales). Si se introduce el comando adecuado, el cargador empleará un algoritmo hecho a medida para descifrar el contenido de la matriz de píxeles y ejecutar la carga útil maliciosa. 

La carga maliciosa principal aplica varias técnicas propias de cifrado para evitar su detección, como el uso de un algoritmo RSA para cifrar las comunicaciones con el servidor de control y descifrar las principales “tareas” asignadas al malware. Entre ellas se incluye la búsqueda de documentos con extensiones específicas y en directorios concretos de la empresa. MontysThree está diseñado para dirigirse específicamente a documentos Microsoft y Adobe Acrobat; asimismo, también puede realizar capturas de pantalla y tomar las “huellas dactilares” del objetivo – recopilando información sobre su configuración de red, nombre del host, etc.- para comprobar si es de interés para los atacantes. 

La información recopilada, así como otras comunicaciones realizadas con el servidor de control, se alojan en servicios públicos en la nube como Google, Microsoft y Dropbox. Este hecho dificulta la detección del tráfico de las comunicaciones como malicioso, y como ningún antivirus bloquea estos servicios, garantiza que el servidor de control pueda ejecutar los comandos de forma ininterrumpida.

Además, MontysThree utiliza un sencillo método para ganar en persistencia dentro del sistema infectado. Se trata de un modificador en la barra de inicio rápido de Windows (Windows Quick Launch). De esta forma, los usuarios ejecutan involuntariamente el módulo inicial del malware cada vez que ejecutan aplicaciones legítimas, como por ejemplo el explorador, al utilizar dicha barra de herramientas de inicio rápido de Windows. 

Por el momento, Kaspersky no ha podido encontrar ninguna similitud entre el código malicioso o la infraestructura de MontysThree con ninguna otra APT conocida.

«MontysThree es muy interesante no solo porque se dirige al mundo industrial, sino también por la combinación de sofisticación y amateurismo de sus TTP (técnicas, tácticas y procedimientos). En general, la complejidad varía de un módulo a otro, sin embargo, no puede compararse con el nivel utilizado por los grupos APT más avanzados. No obstante, utilizan fuertes patrones de cifrado y, de hecho, cuenta con decisiones con un alto grado de conocimiento técnico, incluida la esteganografía personalizada. Es evidente que los atacantes han realizado un gran esfuerzo en el desarrollo del conjunto de herramientas MontysThree, lo que hace pensar que están firmemente decididos a conseguir sus objetivos, y que esta no es una campaña pasajera», señala Denis Legezo, investigador de seguridad senior de Kaspersky Global Research and Analysis Team. 

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Bitdefender gana el premio “Producto del Año” de AV-Comparatives
Actualidad
7 compartido1,217 visualizaciones
Actualidad
7 compartido1,217 visualizaciones

Bitdefender gana el premio “Producto del Año” de AV-Comparatives

Aina Pou Rodríguez - 14 febrero, 2020

Este reconocimiento convierte a Bitdefender en el proveedor más premiado de AV-Comparatives en la última década Bitdefender,  ha ganado el…

Eaton presenta Gigabit Network M2 en VMWorld
Actualidad
14 compartido1,389 visualizaciones
Actualidad
14 compartido1,389 visualizaciones

Eaton presenta Gigabit Network M2 en VMWorld

Vicente Ramírez - 13 noviembre, 2018

Eaton lanza la tarjeta de red Gigabit Network M2, el primer dispositivo de conectividad para SAI certificado de acuerdo con…

La confianza en las nuevas tecnologías y la creciente sinergia entre socios estratégicos y comerciales, puntos clave de la conferencia Cybertech Europe 2019
Actualidad
15 compartido1,498 visualizaciones
Actualidad
15 compartido1,498 visualizaciones

La confianza en las nuevas tecnologías y la creciente sinergia entre socios estratégicos y comerciales, puntos clave de la conferencia Cybertech Europe 2019

Alicia Burrueco - 30 septiembre, 2019

La ciberseguridad de un vistazo: más de un billón de dólares en daños a causa de sucesos relacionados con la…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.