Nueva campaña de espionaje cibernético que utiliza código fuente de un grupo de hackers chinos

24 octubre, 2018
34 Compartido 1,449 Visualizaciones

La ‘Operación Oceansalt’ revela ataques dirigidos a Corea del Sur, Estados Unidos y Canadá.

McAfee, la compañía de ciberseguridad del dispositivo a la nube, ha anunciado hoy en el marco del MPOWER 2018 el resultado de una investigación que ha descubierto una nueva campaña de espionaje cibernético cuyos objetivos eran Corea del Sur, Estados Unidos y Canadá.

La nueva campaña utiliza un implante de reconocimiento de datos usado por última vez en 2010 por el grupo de piratas informáticos APT1, o Comment Crew, un grupo chino paramilitar acusado de lanzar ciberataques a más de 141 empresas estadounidenses entre 2006 y 2010.

Los actores de esta nueva campaña no han sido identificados. Sin embargo, reutilizaron el código de los implantes vistos en Comment Crew en el 2010, que atacó a los Estados Unidos en una operación llamada Seasalt. La nueva campaña, que McAfee ha denominado Operación Oceansalt, se basa en su similitud con esta.

El informe, La Operación Oceansalt que ataca a Corea del Sur, Estados Unidos y Canadá con código fuente de un grupo de hackers chino“, sugiere que el desarrollo del implante Oceansalt no habría sido posible a menos que los autores tuvieran acceso directo al código fuente Seasalt de Comment Crew del 2010. Sin embargo, el equipo de Investigación de Amenazas Avanzadas de McAfee no encontró pruebas de que el código fuente de Comment Crew se haya hecho público, lo que plantea la cuestión de quién es el responsable de Oceansalt.

McAfee descubrió que Oceansalt se lanzó en cinco oleadas de ataque adaptadas a sus objetivos. Las dos primeras se basaron en spearfishing y comenzaron con un documento malicioso de Microsoft Excel en coreano creado y guardado en mayo de 2018, que actuaba como el descargador del implante. El archivo Excel, creado por un usuario llamado “Lion“, contenía información que lleva a McAfee a creer que los objetivos estaban relacionados con proyectos de infraestructuras públicas de Corea del Sur. Una tercera ronda de documentos maliciosos, esta vez en Microsoft Word, contenía los mismos metadatos y el mismo autor que los documentos de Excel. El documento de Word contenía información falsa relacionada con las finanzas del Fondo de Cooperación Intercoreano. La cuarta y quinta oleada estaban dirigidas a los Estados Unidos y Canadá, a medida que los atacantes ampliaban el alcance.

En cuanto a las implicaciones y el impacto, estos ataques pueden ser precursores de un ataque mucho mayor dado el control que los atacantes tienen sobre sus víctimas. Oceansalt da a los atacantes el control total de cualquier sistema que logren comprometer y la red a la que está conectado. Teniendo en cuenta la colaboración potencial con otros autores de amenazas, hay muchos más activos abiertos y disponibles sobre los que actuar.

“Esta investigación demuestra que los autores de las amenazas están continuamente aprendiendo unos de otros y mejorando sus innovaciones,” apuntó Raj Samani, Investigador Jefe en McAfee. “El responsable último del ataque Oceansalt no está publicitándolo, pero si haciéndolo real. McAfee se centra en los indicadores de compromiso, presentados en este informe, para detectar, corregir y proteger sistemas, independientemente de la fuente de estos ataque.

Descargar el informe.

Te podría interesar

Ciberseguridad para pymes: una letra del correo costó 20.000 dólares
Security Breaches
18 compartido2,165 visualizaciones
Security Breaches
18 compartido2,165 visualizaciones

Ciberseguridad para pymes: una letra del correo costó 20.000 dólares

Mónica Gallego - 6 noviembre, 2018

En 2017 un 30% de las pymes en España fue víctima algún tipo de ciberataque. El caso de Seaphase, los emails…

Conocer las vulnerabilidades permite actuar con rapidez y eficacia ante un ciberataque
Actualidad
33 compartido1,484 visualizaciones
Actualidad
33 compartido1,484 visualizaciones

Conocer las vulnerabilidades permite actuar con rapidez y eficacia ante un ciberataque

José Luis - 13 junio, 2018

Alhambra-Eidos, desde su área de Ciberseguridad denominada OneseQ, celebró, el pasado 7 de junio, el desayuno tecnológico “Cómo frenar las…

El peligro de las ofertas fraudulentas de empleo en Internet
Actualidad
21 compartido1,486 visualizaciones
Actualidad
21 compartido1,486 visualizaciones

El peligro de las ofertas fraudulentas de empleo en Internet

Vicente Ramírez - 7 mayo, 2018

El Instituto Nacional de Ciberseguridad (INCIBE) tiene como misión reforzar la ciberseguridad, la confianza y la protección de la privacidad…

Deje un comentario

Su email no será publicado