Ciberdelincuentes realizan ciberespionaje en países del este; se vincula a un grupo chino llamado IndigoZebra
La ciberdelincuencia cobra cada día una gravedad cada vez mayor. Ya no se habla, única y exclusivamente, de lobos solitarios, sino de grupos bien organizados que tienen mayores objetivos que un «simple robo de información«. Cada día vemos organismos nacionales siendo atacados con el mero fin de hacer daño, o lo que nos atañe en este texto: ciberespionaje. Según ha informado el proveedor de soluciones de ciberseguridad Check Point Software Technologies Ltd., en los últimos días se ha llevado a cabo una una operación de ciberespionaje en países del este. Una operación que vinculan al grupo de habla china conocido como «IndigoZebra» y la cual han ejecutado vía Dropbox.
El objetivo era infiltrarse en el Consejo de Seguridad Nacional de Afganistán, aunque la investigación de CheckPoint Software ha desvelado más países afectados por ello. En concreto, citan a zonas de Asia Central, Kirguistán y Uzbekistán. Todos estas operaciones, al parecer, se llevan ejecutando desde 2014 al menos. La investigación de CPR comenzó en abril, cuando un funcionario del Consejo de Seguridad Nacional de Afganistán recibió un correo electrónico supuestamente de la Oficina Administrativa del Presidente de Afganistán. El email instaba al destinatario a revisar las modificaciones del documento relacionadas con una próxima conferencia de prensa del NSC. Más tarde, la cadena creció y llegó a otros ministerios, afectando sus funciones.
Ciberdelincuentes realizan ciberespionaje en países del este con Dropbox
El servicio Dropbox, mencionado anteriormente, fue el método usado por los ciberdelincuentes para enmascarar sus actividades maliciosas. El backdoor creado instauraba una carpeta única para la víctima en una cuenta controlada por el atacante. Cuando necesitaban enviar un archivo o un comando a la máquina del perjudicado, los colocaban en la carpeta llamada «d» de la víctima. El malware la recuperaba y descargaba todo su contenido. El backdoor establecía la persistencia mediante la configuración de una clave de registro diseñada para ejecutarse cada vez que un usuario se conectaba
Resumen de la metodología del ciberespionaje
- Enviar un email bajo la apariencia de una entidad de alto nivel. Los ciberdelincuentes planifican un engaño de ministerio a ministerio. Se envía un correo electrónico a un funcionario de alto perfil desde los buzones de otra víctima de alto nivel.
- Adjunto malicioso de enlace. Los ciberdelincuentes añaden un archivo comprimido que contiene malware, pero que se hace pasar por un adjunto legítimo. En este caso, el correo electrónico contenía un archivo RAR protegido por contraseña llamado NSC Press conference.rar.
- Abrir el primer documento. El archivo extraído, NSC Press conference.exe, actúa como dropper. El contenido del «mensaje señuelo» sugiere que el archivo adjunto es el citado documento. Para reducir la sospecha a la hora de que la víctima ejecute el archivo, los ciberdelincuentes utilizan un sencillo truco. El primer documento del escritorio de la víctima se abre para el usuario tras la ejecución del dropper. Tanto si el dropper encuentra un documento para abrir como si no, pasará a la siguiente fase: soltar el backdoor.
- Utilizar Dropbox como centro de mando y control. El backdoor se comunica con una carpeta preconfigurada y única para cada víctima en Dropbox. Esta sirve como dirección donde la puerta trasera extrae más comandos y almacena la información que roba.
Objetivos: Afganistán, Kirguistán y Uzbekistán
Mientras que los investigadores de Check Point Research vieron que la variante de Dropbox tenía como objetivo a funcionarios del gobierno afgano, sus variantes se centran en entidades políticas de dos países concretos de Asia Central, Kirguistán y Uzbekistán.
Lotem Finkelsteen, jefe de inteligencia de amenazas de Check Point Software, comentó sobre la situación: –«la detección del cualquier tipo de ciberespionaje sigue siendo prioritario para nosotros. Esta vez hemos detectado una campaña de spear-phishing en curso dirigida contra el Gobierno afgano. Pero tenemos motivos para creer que Uzbekistán y Kirguistán también han sido víctimas. Hemos atribuido nuestros hallazgos a ciberdelincuentes de habla china. Lo que llama la atención es cómo utilizaron la táctica del engaño de ministerio a ministerio en los más altos niveles de la Administración Pública. Además, preocupa cómo los ciberdelincuentes utilizan Dropbox para enmascararse y evitar ser detectados. Es una técnica que creo que todos deberíamos conocer y de la que deberíamos estar pendientes»-.