Nueva campaña de espionaje cibernético que utiliza código fuente de un grupo de hackers chinos

24 octubre, 2018
34 Compartido 1,733 Visualizaciones

La ‘Operación Oceansalt’ revela ataques dirigidos a Corea del Sur, Estados Unidos y Canadá.

McAfee, la compañía de ciberseguridad del dispositivo a la nube, ha anunciado hoy en el marco del MPOWER 2018 el resultado de una investigación que ha descubierto una nueva campaña de espionaje cibernético cuyos objetivos eran Corea del Sur, Estados Unidos y Canadá.

La nueva campaña utiliza un implante de reconocimiento de datos usado por última vez en 2010 por el grupo de piratas informáticos APT1, o Comment Crew, un grupo chino paramilitar acusado de lanzar ciberataques a más de 141 empresas estadounidenses entre 2006 y 2010.

Los actores de esta nueva campaña no han sido identificados. Sin embargo, reutilizaron el código de los implantes vistos en Comment Crew en el 2010, que atacó a los Estados Unidos en una operación llamada Seasalt. La nueva campaña, que McAfee ha denominado Operación Oceansalt, se basa en su similitud con esta.

El informe, «La Operación Oceansalt que ataca a Corea del Sur, Estados Unidos y Canadá con código fuente de un grupo de hackers chino«, sugiere que el desarrollo del implante Oceansalt no habría sido posible a menos que los autores tuvieran acceso directo al código fuente Seasalt de Comment Crew del 2010. Sin embargo, el equipo de Investigación de Amenazas Avanzadas de McAfee no encontró pruebas de que el código fuente de Comment Crew se haya hecho público, lo que plantea la cuestión de quién es el responsable de Oceansalt.

McAfee descubrió que Oceansalt se lanzó en cinco oleadas de ataque adaptadas a sus objetivos. Las dos primeras se basaron en spearfishing y comenzaron con un documento malicioso de Microsoft Excel en coreano creado y guardado en mayo de 2018, que actuaba como el descargador del implante. El archivo Excel, creado por un usuario llamado «Lion«, contenía información que lleva a McAfee a creer que los objetivos estaban relacionados con proyectos de infraestructuras públicas de Corea del Sur. Una tercera ronda de documentos maliciosos, esta vez en Microsoft Word, contenía los mismos metadatos y el mismo autor que los documentos de Excel. El documento de Word contenía información falsa relacionada con las finanzas del Fondo de Cooperación Intercoreano. La cuarta y quinta oleada estaban dirigidas a los Estados Unidos y Canadá, a medida que los atacantes ampliaban el alcance.

En cuanto a las implicaciones y el impacto, estos ataques pueden ser precursores de un ataque mucho mayor dado el control que los atacantes tienen sobre sus víctimas. Oceansalt da a los atacantes el control total de cualquier sistema que logren comprometer y la red a la que está conectado. Teniendo en cuenta la colaboración potencial con otros autores de amenazas, hay muchos más activos abiertos y disponibles sobre los que actuar.

“Esta investigación demuestra que los autores de las amenazas están continuamente aprendiendo unos de otros y mejorando sus innovaciones,” apuntó Raj Samani, Investigador Jefe en McAfee. “El responsable último del ataque Oceansalt no está publicitándolo, pero si haciéndolo real. McAfee se centra en los indicadores de compromiso, presentados en este informe, para detectar, corregir y proteger sistemas, independientemente de la fuente de estos ataque.

Descargar el informe.

Te podría interesar

Cibercriminales lanzan ataques de suplantación de identidad contra más de 400 empresas industriales
Actualidad
10 compartido1,263 visualizaciones
Actualidad
10 compartido1,263 visualizaciones

Cibercriminales lanzan ataques de suplantación de identidad contra más de 400 empresas industriales

Vicente Ramírez - 17 agosto, 2018

Los analistas de Kaspersky Lab detectaron una nueva oleada de correos electrónicos de spear phishing diseñados. Los correos electrónicos simularon…

El 77% de los españoles sufre “ciberestrés”
Actualidad
26 compartido1,766 visualizaciones
Actualidad
26 compartido1,766 visualizaciones

El 77% de los españoles sufre “ciberestrés”

José Luis - 25 julio, 2018

Un nuevo informe de Kaspersky Lab revela que las noticias sobre las filtraciones de datos y la presión por gestionar…

Tixeo firma un acuerdo con Cefiros para la distribución de su software de videoconferencia segura
Soluciones Seguridad
16 compartido1,202 visualizaciones
Soluciones Seguridad
16 compartido1,202 visualizaciones

Tixeo firma un acuerdo con Cefiros para la distribución de su software de videoconferencia segura

Vicente Ramírez - 8 agosto, 2019

Tixeo, fabricante europeo de software de videoconferencia segura en entornos multipunto, ha cerrado un acuerdo con Cefiros para la distribución…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.