Grupo de ciberespionaje utiliza popular marca de mensajería para lanzar ataques dirigidos
Los investigadores de Kaspersky Lab han descubierto una ola de
ataques de ciberespionaje dirigidos contra organizaciones diplomáticas de Asia
Central. El troyano, llamado "Octopus", disfrazado como una versión de un
servicio de mensajería en línea popular y legítimo, atraía a los usuarios tras
la noticia de una posible prohibición de Telegram en la región. Una vez
instalado, Octopus proporcionaba a los atacantes acceso remoto a las
computadoras de las víctimas.
Los agentes de amenaza buscan
constantemente tendencias que se puedan aprovechar y ajustar a sus métodos para
poner en peligro la privacidad y la información confidencial de los usuarios en
todo el mundo. En este caso, la posible prohibición de la aplicación Telegram,
que es ampliamente utilizada, permitió a los cibercriminales planear estos
ataques usando el troyano Octopus, que proporcionaba a los hackers acceso remoto
a la computadora de la víctima.
Los ciberespías distribuyeron el
Octopus dentro de un archivo disfrazado como una versión alternativa de Telegram
Messenger para los partidos de oposición kazajos. El iniciador estaba disfrazado
con un símbolo reconocible de uno de los partidos políticos de oposición de la
región, y el troyano estaba oculto en su interior. Una vez activado, daba, a los
agentes que se valían del malware, oportunidad para llevar a cabo diversas
operaciones con datos en la computadora infectada, incluyendo, borrar, bloquear,
modificar, copiar y descargar, entre otras. De esta manera, los atacantes podían
espiar a las víctimas, robar datos confidenciales y obtener acceso a los
sistemas por una puerta trasera. El método tiene algunas similitudes con una
infame operación de
ciberespionaje llamada Zoo Park, en la que el malware utilizado
para la APT imitaba una aplicación de Telegram para espiar a las
víctimas.
Usando los algoritmos de Kaspersky Lab
que reconocen similitudes en el código de software, los investigadores de
seguridad descubrieron que Octopus podría tener enlaces a DustSquad, un agente
de ciberespionaje de habla rusa detectado previamente en países de la antigua
URSS en Asia Central, así como en Afganistán, desde 2014. Durante los últimos
dos años, los investigadores han detectado cuatro de sus campañas con malware
adaptado para Android y Windows dirigido tanto a usuarios privados como a
entidades diplomáticas.
“Hemos visto muchos agentes de amenazas dirigidos a entidades
diplomáticas en Asia Central en 2018. DustSquad ha estado trabajando en la
región durante varios años y podría ser el grupo que se encuentra detrás de esta
nueva amenaza. Aparentemente, el interés en los asuntos cibernéticos de esta
región está creciendo constantemente. Recomendamos a los usuarios y
organizaciones de la región que vigilen sus sistemas e instruyan a los empleados
para que hagan lo mismo", comentó Denis Legezo, investigador de seguridad en Kaspersky
Lab.
Para reducir el
riesgo de ataques cibernéticos avanzados, Kaspersky Lab recomienda implementar
las siguientes medidas:
·Educar al personal sobre la higiene
digital y explicar cómo reconocer y evitar aplicaciones o archivos
potencialmente maliciosos. Por ejemplo, los empleados no deben descargar e
iniciar aplicaciones o programas de fuentes desconocidas o que no sean de
confianza.
·Utilizar una solución de seguridad
robusta en los endpoints con la funcionalidad de control de aplicaciones que
limita la capacidad de estas para iniciar recursos críticos del sistema o
acceder a ellos.
·Implementar un conjunto de
soluciones y tecnologías, como Kaspersky Anti Targeted AttackPlatform y Kaspersky EDR, contra ataques dirigidos. Estas
pueden ayudar a detectar la actividad maliciosa en la red e investigar y
responder de manera eficaz a los ataques bloqueando su
desarrollo.
·Asegurarse de que su equipo de
seguridad tenga acceso a inteligencia de amenazas
profesional.