Miércoles, 22 Mayo 2013 19:41

Se Destapa Nueva Campaña Mundial De Espionaje Cibernético

La operación parece haber afectado agencias gubernamentales, firmas de tecnología, outlets de productos, instituciones académicas o de investigación y otras organizaciones no oficiales -según han escrito varios expertos

de Trend Micro en su Blog Security Intelligence. Tren Micro cree que más de 12000 IPs únicas esparcidas en más de 120 países fueron infectadas con este malware. Sin embargo, solo 71 direcciones IP -de media- se comunicaron activamente con los servidores de Comando y Control de los atacantes cada día.

Por tanto, los expertos del laboratorio afirman que el número real de víctimas es mucho menor que el de IPs únicas afectadas. Sin embargo sólo existen especulaciones sobre el "por qué".

Spear-phishing como lanzadera

SafeNet se compone de dos campañas distintas de spear phishing que usan el mismo tipo de malware, pero empleando diferentes infraestructuras de comando-control (o C&C) según el white paper de Trend Micro. Una de las campañas de phishing emplea temas como Mongolia o el Tíbet -de actualidad- referidas en el asunto de los emails. Los investigadores  aún no han identificado un tema común en los encabezados usados en la segunda campaña, que ha tenido difusión en la India, Pakistán, EEUU, China, Filipinas, Rusia y Brasil.

Los emails enviados por SafeNet intentan engañar a la víctima para que abra el contenido adjunto, se trata de varios documentos de Word vulnerados que, una vez abiertos, instalan silenciosamente  una descarga de malware en el ordenador. Esta vulnerabilidad de ejecución de código remoto de Office fué parcheada en Abril de 2012.

Su infraestructura

En la primera campaña, ordenadores de 243 direcciones Ip únicas en 11 países fueron conectadas con el servidor C&C. En la segunda campaña, ordenadores de 11563 direcciones IP únicas de unos 116 países diferentes se comunicaron con el servidor de control del atacante. India parece haber sido el país más afectado -4000 direcciones IP-.

Uno de los servidores de control fué desplegado de tal forma que cualquiera pudiera ver los contenidos de sus directorio. Como resultado de esto, los investigadores de Trend Micro pudieron determinar quienes eran las víctimas, además de poder descargarse el código fuente que había entre el malware y los centros de control. Observando el código empleado en los servidores, parece que los operadores reciclaron parte de un código perteneciente a un proveedor de servicios (ISP) de China.

Los atacantes estuvieron conectados a los C&Cs por medio de VPN y usando la red Tor, haciendo difícil determinar su locaclización.

Posible empleo de malware chino

Basándose en varias pistas encontradas en el código fuente, desde Trend Micro sugieren que es posible que el malware haya sido desarrollado en China. Lo que no se conoce es si este malware fué comprado allí o desarrollado por ellos