Analistas de Kaspersky Lab han descubierto una ola de ciberataques dirigidos contra organizaciones diplomáticas de países de Asia central.
El troyano llamado “Octopus”, disfrazado de una popular y legítima solución de mensajería online, atraía a los usuarios con la noticia de una posible prohibición del servicio Telegram en la región. Una vez instalado, Octopus proporcionó a los ciberatacantes acceso remoto a los equipos de las víctimas.
Los actores de amenazas buscan constantemente tendencias actuales de las que puedan aprovecharse y, de ese modo, ajustar sus métodos para poner en peligro la privacidad y la información confidencial de usuarios de todo el mundo. En este caso, una posible prohibición de la popular aplicación de mensajería Telegram permitió a los actores de amenazas planear ataques usando el troyano Octopus, permitiendo más adelante que los ciberdelincuentes tuvieran acceso remoto al ordenador de la víctima.
Los actores de amenazas distribuyeron Octopus dentro de un archivo disfrazado como una versión alternativa de Telegram usada por los partidos de la oposición kazajos. El lanzador estaba disfrazado con el símbolo reconocible de uno de los partidos políticos de la oposición de la región, ocultando el troyano en su interior. Una vez activado, el troyano ofreció a los actores detrás del malware la posibilidad de realizar diversas operaciones con los datos del equipo infectado incluyendo, pero no limitándose exclusivamente, la eliminación, bloqueos, modificaciones, copia y descarga. Por ello, los atacantes pudieron espiar a las víctimas, robar datos confidenciales y obtener acceso de puerta trasera a los sistemas. El esquema tiene algunas similitudes con una famosa operación de ciberespionaje llamada Zoo Park, en la que el malware utilizado para la APT imitaba una aplicación de Telegram para espiar a las víctimas.
Usando los algoritmos de Kaspersky que reconocen similitudes en el código de software, los analistas de seguridad descubrieron que Octopus podría tener alguna relación con DustSquad, un actor de ciberespionaje de habla rusa detectado en 2014 en países de la antigua URSS en Asia central y en Afganistán. En los últimos dos años, los analistas detectaron cuatro campañas con malware personalizado para Android y Windows dirigido tanto a usuarios privados como a entidades diplomáticas.
“En 2018 hemos visto a muchos actores de amenazas atacando entidades diplomáticas en Asia central. DustSquad lleva trabajando varios años en la región y podría ser el grupo detrás de esta nueva amenaza. Aparentemente, el interés en los ciberasuntos de esta región sigue creciendo. Recomendamos encarecidamente a los usuarios y organizaciones de la región que vigilen sus sistemas e instruyan a los empleados para que hagan lo mismo», dice Denis Legezo, analista de seguridad en Kaspersky Lab.
Recomendaciones:
- Educar a los empleados sobre higiene digital y explicar cómo reconocer y evitar aplicaciones o archivos potencialmente maliciosos. Por ejemplo, los empleados no deben descargar e iniciar aplicaciones o programas de fuentes desconocidas o que no sean de confianza.
- Utilizar una solución de seguridad para dispositivos robusta, que cuente con funcionalidad de control de aplicaciones que limite la capacidad de una aplicación para iniciar o acceder a recursos críticos del sistema.
- Implementar un conjunto de soluciones y tecnologías contra ataques dirigidos como Kaspersky Anti Targeted Attack Platform y Kaspersky EDR. Estas pueden ayudar a detectar actividad maliciosa en la red e investigar y responder, de manera más eficaz, a los ataques bloqueando su progreso.
- Asegurarse de que el equipo de seguridad tenga acceso a información sobre amenazas profesional
Puedes leer el informe completo en Securelist.com