Facebook Linkedin Twitter Instagram Youtube Telegram

Informe de Bitdefender sobre espionaje industrial a empresas de arquitectura

Los investigadores de Bitdefender han descubierto recientemente un sofisticado ataque de ciberespionaje del tipo APT

Dirigido a una empresa dedicada a proyectos arquitectónicos con desarrolladores inmobiliarios de lujo en Nueva York, Londres, Australia y Omán. Los clientes y proyectos de la compañía incluyen residencias de lujo, arquitectos de alto nivel y diseñadores de interiores de gran renombre a nivel internacional.

Empresas privadas de la competencia han utilizado a grupos mercenarios de APT para el ciberespionaje industrial, buscando información financiera o detalles de negociación para conseguir contratos de alto perfil. La investigación de Bitdefender ha revelado que el grupo de hackers se infiltró en la empresa utilizando un complemento contaminado y especialmente diseñado para Autodesk 3ds Max.

Basándose en la telemetría de Bitdefender, la compañía también ha encontrado otras muestras de malware similares en Corea del Sur, Estados Unidos, Japón y Sudáfrica, que se comunican con el mismo servidor de comando y control, que datan de hace poco menos de un mes. La compañía responde a las siguientes preguntas sobre el informe sobre espionaje industrial a empresas de arquitectura:

¿Cuándo empezó la campaña? ¿Está activo actualmente?

Esta no es una campaña dirigida a múltiples víctimas, sino un ataque altamente dirigido que persigue a una sola víctima. Actualmente no sabemos cuándo ocurrió la infección inicial, ya que nuestra investigación comenzó después del compromiso. En el momento en que se publicó nuestro informe, la infraestructura de comando y control todavía estaba activa, lo que podría indicar que todavía está siendo utilizada por otro malware.

¿A cuántas víctimas se dirigió la última campaña y qué éxito tuvieron estos ataques?

Actualmente no tenemos evidencia forense de ninguna otra víctima que esté siendo atacada. Si bien nuestra telemetría de malware reveló algunas otras muestras que se comunican con el mismo servidor de comando y control, no está claro si fueron parte del mismo ataque o simplemente otro malware desarrollado por el grupo APT para otro cliente.

¿Podemos decir que StrongPity es un grupo APT de Corea del Sur? ¿O podría ser que los atacantes estén utilizando herramientas de evasión para engañar a los investigadores de seguridad?

Es difícil especular sobre la ubicación de un grupo APT. Por lo general, los miembros suelen estar dispersos en varios países e incluso continentes. Si bien algunos grupos APT pueden estar patrocinados por el estado, lo que facilita mucho la atribución, con los grupos APT mercenarios podrían estar ubicados en cualquier parte del mundo y operar a nivel mundial.

¿Cómo se propagó inicialmente Autodesk malicioso? ¿Qué variante de malware implementaron los atacantes?

En ese momento, parecen haber aprovechado una vulnerabilidad desconocida en Autodesk que les permitió instalar un componente manipulado. Esto les permite interactuar con la máquina de las víctimas y luego implementar herramientas maliciosas adicionales. Fue solo en agosto que Autodesk presentó una advertencia y una solución para abordar la vulnerabilidad previamente desconocida. En esencia, los atacantes utilizaron una pieza de malware de día cero para comprometer a la víctima.

¿El malware es capaz de atacar cualquier sistema operativo?

El malware es capaz de comprometer aplicaciones de Autodesk no empaquetadas que son vulnerables al ataque de manipulación de complementos contaminados.

Dado que StrongPity es una empresa de piratería informática, ¿son los atacantes capaces de personalizar sus técnicas de infección en función de la demanda de sus clientes?

Es probable que cualquier grupo mercenario APT tenga las habilidades técnicas y el conocimiento necesarios para lanzar ataques personalizados contra objetivos contratados. Si bien los vectores de ataque a menudo pueden ser los mismos, como los archivos adjuntos de correo electrónico contaminados o la explotación de vulnerabilidades no reparadas, es probable que las cargas útiles maliciosas se adapten y personalicen a sus víctimas.

¿Es probable que veamos un aumento en la mercantilización de los grupos de APT?

Esta está comenzando a ser una nueva tendencia que probablemente se verá más en el futuro. A medida que los grupos de delincuentes cibernéticos se vuelven más sofisticados y actúan más como mercenarios, es probable que sigan poniendo sus servicios a disposición de los mejores postores. Este nuevo modelo de negocio APT-as-a-service parece ser el siguiente paso evolutivo en ataques sofisticados.

¿Qué tan diferente es StrongPity de otros grupos comerciales de APT?

Si bien StrongPity es un agarre relativamente conocido, no hemos encontrado evidencia forense en nuestra investigación que vincule al grupo APT que hemos encontrado con el grupo StrongPity APT. Por lo general, la forma en que puede notar la diferencia entre varios grupos de APT es por las pistas que dejan atrás, como herramientas preferidas, similitudes de malware, binarios marcas de tiempo, o incluso varias cadenas dentro de los archivos binarios que apuntan a un grupo específico de habla del idioma. Sin embargo, nuestra investigación no reveló tales artefactos que podamos utilizar para vincular este grupo APT a uno que se había conocido previamente.

Picture of Samuel Rodríguez

Samuel Rodríguez

Periodista. Al frente de Ecommerce News desde 2012. Inquieto. Por el camino he creado otros medios como @BigDataMagazine y @CybersecurityNews. Organizador de cientos de eventos profesionales. Ahora con un pie en Portugal y otro en México… Muy del @GetafeCF

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.