Durante el segundo trimestre de 2018, los analistas de Kaspersky Lab notaron una intensa actividad en operaciones de APT, principalmente en Asia, y que involucraba tanto a actores de amenazas conocidos como a otros menos habituales. Varios de estos grupos seleccionaron o programaron sus campañas teniendo en cuenta acontecimientos geopolíticos de cierta relevancia. Estas y otras dinámicas se incluyen en el último Informe Trimestral sobre Amenazas de Kaspersky Lab.
En el segundo trimestre de 2018, los analistas de Kaspersky Lab siguieron descubriendo nuevas herramientas, técnicas y campañas lanzadas por grupos de amenazas persistentes avanzadas (APT), algunos de los cuales habían permanecido en silencio durante años. Asia siguió siendo el epicentro de interés para este tipo de amenazas. Grupos regionales, como los de habla coreana Lazarus y Scarcruft, estuvieron particularmente activos, y los analistas descubrieron que un implante llamado LightNeuron lo utilizaba Turla, el grupo de habla rusa, para atacar objetivos en Asia central y Oriente Próximo.
Algunos de los hechos significativos ocurridos en el segundo trimestre de 2018:
- El regreso del actor que estaba detrás de Olympic Destroyer. Después de su ataque en enero de 2018 contra los Juegos Olímpicos de invierno de Pyeongchang, los analistas descubrieron lo que creían era una renovada actividad de este actor dirigida contra instituciones financieras en Rusia y laboratorios de prevención de amenazas bioquímicas en Europa y Ucrania. Varios indicadores sugieren una relación media y baja entre Olympic Destroyer y Sofacy, el actor de amenazas de habla rusa.
- Lazarus/BlueNoroff. Existían indicios de que este APT de perfil alto se dirigía contra instituciones financieras en Turquía, como parte de una campaña de ciberespionaje más amplia, así como contra casinos en América Latina. Estas operaciones sugieren que la motivación para este grupo sigue siendo económica, no teniendo en cuenta las conversaciones de paz en curso con Corea del Norte.
- Los analistas observaron una actividad relativamente alta de Scarcruft APT, con el actor de amenazas utilizando malware de Android y lanzando una operación con un backdoor al que han dado el nombre de POORWEB.
- El APT LuckyMouse, un actor de amenazas de idioma chino conocido como APT27, que había sido visto anteriormente golpeando ISPs en Asia con ataques de “abrevadero” (waterhole) contra sitios web prestigiosos, estaba apuntando activamente a entidades gubernamentales kazajas y mongolas en el momento en el que sus gobiernos se encontraban en de conversaciones en China.
- La campaña VPNFilter descubierta por Cisco Talos y atribuida por el FBI a Sofacy o Sandworm, mostró la enorme vulnerabilidad del hardware de red doméstico y de las soluciones de almacenamiento. La amenaza puede incluso introducir malware en el tráfico para infectar ordenadores detrás del dispositivo de red infectado. El análisis de Kaspersky Lab confirmó que pueden encontrarse rastros de esta campaña en prácticamente todos los países.
“El segundo trimestre de 2018 fue muy interesante en términos de APTs, con algunas campañas importantes que nos recuerdan lo reales que se han vuelto algunas de las amenazas que hemos ido pronosticando durante los últimos años. En particular, hemos avisado repetidamente que el hardware de red es ideal para sufrir ataques dirigidos y también hemos destacado la presencia y extensión de actividad avanzada centrada en estos dispositivos”, afirma Vicente Diaz, analista principal de seguridad en el equipo GReAT de Kaspersky Lab.