Nueva campaña de espionaje cibernético que utiliza código fuente de un grupo de hackers chinos

24 octubre, 2018
34 Compartido 1,512 Visualizaciones

La ‘Operación Oceansalt’ revela ataques dirigidos a Corea del Sur, Estados Unidos y Canadá.

McAfee, la compañía de ciberseguridad del dispositivo a la nube, ha anunciado hoy en el marco del MPOWER 2018 el resultado de una investigación que ha descubierto una nueva campaña de espionaje cibernético cuyos objetivos eran Corea del Sur, Estados Unidos y Canadá.

La nueva campaña utiliza un implante de reconocimiento de datos usado por última vez en 2010 por el grupo de piratas informáticos APT1, o Comment Crew, un grupo chino paramilitar acusado de lanzar ciberataques a más de 141 empresas estadounidenses entre 2006 y 2010.

Los actores de esta nueva campaña no han sido identificados. Sin embargo, reutilizaron el código de los implantes vistos en Comment Crew en el 2010, que atacó a los Estados Unidos en una operación llamada Seasalt. La nueva campaña, que McAfee ha denominado Operación Oceansalt, se basa en su similitud con esta.

El informe, La Operación Oceansalt que ataca a Corea del Sur, Estados Unidos y Canadá con código fuente de un grupo de hackers chino“, sugiere que el desarrollo del implante Oceansalt no habría sido posible a menos que los autores tuvieran acceso directo al código fuente Seasalt de Comment Crew del 2010. Sin embargo, el equipo de Investigación de Amenazas Avanzadas de McAfee no encontró pruebas de que el código fuente de Comment Crew se haya hecho público, lo que plantea la cuestión de quién es el responsable de Oceansalt.

McAfee descubrió que Oceansalt se lanzó en cinco oleadas de ataque adaptadas a sus objetivos. Las dos primeras se basaron en spearfishing y comenzaron con un documento malicioso de Microsoft Excel en coreano creado y guardado en mayo de 2018, que actuaba como el descargador del implante. El archivo Excel, creado por un usuario llamado “Lion“, contenía información que lleva a McAfee a creer que los objetivos estaban relacionados con proyectos de infraestructuras públicas de Corea del Sur. Una tercera ronda de documentos maliciosos, esta vez en Microsoft Word, contenía los mismos metadatos y el mismo autor que los documentos de Excel. El documento de Word contenía información falsa relacionada con las finanzas del Fondo de Cooperación Intercoreano. La cuarta y quinta oleada estaban dirigidas a los Estados Unidos y Canadá, a medida que los atacantes ampliaban el alcance.

En cuanto a las implicaciones y el impacto, estos ataques pueden ser precursores de un ataque mucho mayor dado el control que los atacantes tienen sobre sus víctimas. Oceansalt da a los atacantes el control total de cualquier sistema que logren comprometer y la red a la que está conectado. Teniendo en cuenta la colaboración potencial con otros autores de amenazas, hay muchos más activos abiertos y disponibles sobre los que actuar.

“Esta investigación demuestra que los autores de las amenazas están continuamente aprendiendo unos de otros y mejorando sus innovaciones,” apuntó Raj Samani, Investigador Jefe en McAfee. “El responsable último del ataque Oceansalt no está publicitándolo, pero si haciéndolo real. McAfee se centra en los indicadores de compromiso, presentados en este informe, para detectar, corregir y proteger sistemas, independientemente de la fuente de estos ataque.

Descargar el informe.

Te podría interesar

Una zona expositiva y presentaciones de productos, principal novedad de 12ENISE
Actualidad
8 compartido933 visualizaciones
Actualidad
8 compartido933 visualizaciones

Una zona expositiva y presentaciones de productos, principal novedad de 12ENISE

Vicente Ramírez - 11 julio, 2018

Las empresas y startups con negocio en ciberseguridad que estén interesadas en participar pueden inscribirse hasta el 31 de agosto.…

Kit de ciberataques por €35
APTS
14 compartido1,994 visualizaciones
APTS
14 compartido1,994 visualizaciones

Kit de ciberataques por €35

Mónica Gallego - 17 julio, 2018

En el sector de la ciberseguridad se denuncia la venta de kits de ciberataques en la red 'oculta' por el…

Motivos económicos y políticos detrás de los principales ataques DDoS
Actualidad
33 compartido1,082 visualizaciones
Actualidad
33 compartido1,082 visualizaciones

Motivos económicos y políticos detrás de los principales ataques DDoS

José Luis - 27 marzo, 2018

Las tendencias principales detalladas en el informe trimestral DDoS Intelligence de Kaspersky Lab son: ataques DDoS no intencionados de mano…

Deje un comentario

Su email no será publicado