Actualidad Info Actualidad

Campañas recientes ven al grupo APT28 volviendo a realizar operaciones secretas de recopilación de inteligencia en Europa y Sudamérica

Symantec avisa de nuevas operaciones de espionaje lanzadas por el grupo APT28 dirigidas contra organizaciones militares y gubernamentales

Redacción Interempresas09/10/2018
308

Después de aparecer en los titulares de los periódicos durante 2016 debido a su participación en ataques cibernéticos contra una organización involucrada en las elecciones presidenciales de los EE UU, APT28 (también conocido como Swallowtail y Fancy Bear) continuó sus operaciones durante 2017 y 2018, informa el equipo de investigación de ataques de Symantec Security Response, un grupo de expertos en seguridad cuya misión es investigar los ataques dirigidos, impulsar la protección de los productos de Symantec Corp., y ofrecer análisis que ayuden a los clientes a responder a los ataques.

El grupo de hackers, que según el Departamento de Seguridad Nacional de EE. UU. (DHS) y la Oficina Federal de Investigaciones (FBI) está vinculado al gobierno ruso, regresó a las operaciones de recopilación de inteligencia de bajo perfil durante 2017 y hasta principios de 2018, apuntando a un rango de objetivos militares y gubernamentales en Europa y Sudamérica.

Historia de ataques desestabilizadores

APT28 ha estado activo por lo menos desde enero de 2007, pero recibió una gran atención pública durante 2016, cuando estuvo implicado en una serie de ciberataques s en el período previo a la elección presidencial de EE UU.

A partir de la primavera de 2016, el APT28 envió correos electrónicos de phishing a objetivos políticos, incluidos miembros del Comité Nacional Demócrata (DNC). Estos correos electrónicos fueron diseñados para engañar a los destinatarios para que supuestamente cambien sus contraseñas de correo electrónico en un dominio de correo electrónico falso. El grupo de ataque luego usó estas credenciales robadas para obtener acceso a la red DNC, instalar malware, moverse a través de la red y robar datos, incluido un elevado volumen de correos electrónicos. La información comprometida se filtró más tarde online.

Imagen

Estos ataques electorales señalaron un cambio de tácticas por parte de APT28, alejándose de su anterior recopilación de inteligencia de bajo perfil hacia una actividad más abierta, que aparentemente pretendía desestabilizar e interrumpir a las organizaciones y países víctimas.

El grupo también fue responsable del ataque de 2016 a la Agencia Mundial Antidopaje (WADA) y de la filtración de información confidencial sobre pruebas de drogas. En consonancia con su cambio a tácticas más abiertas, el grupo pareció asumir el crédito público por el ataque, filtrando la información en un sitio web con el nombre de ‘Fancy Bears’, un nombre en clave de la industria que ya era ampliamente utilizado para el grupo.

Volver a las sombras

Después de recibir una cantidad de atención sin precedentes en 2016, APT28 ha continuado montando operaciones durante 2017 y 2018. Sin embargo, las actividades del grupo desde principios de 2017 se han vuelto más encubiertas y parecen estar motivadas principalmente por la recopilación de información.

Las organizaciones seleccionadas por APT28 durante 2017 y 2018 incluyen:

  • Una organización internacional muy conocida,
  • Objetivos militares en Europa,
  • Gobiernos en Europa,
  • Un gobierno de un país sudamericano,
  • Una embajada perteneciente a un país de Europa del Este.

Desarrollo continuo de herramientas

APT28 utiliza una serie de herramientas para comprometer sus objetivos. El malware principal del grupo es Sofacy, que tiene dos componentes principales. Trojan.Sofacy (también conocido como Seduploader) realiza un reconocimiento básico en una computadora infectada y puede descargar más malware. Backdoor.SofacyX (también conocido como X-Agent) es un malware de segunda fase, capaz de robar información de la computadora infectada. También existe una versión para Mac del troyano (OSX.Sofacy).

APT28 ha continuado desarrollando sus herramientas en los últimos dos años. Por ejemplo, Trojan.Shunnael (también conocido como X-Tunnel), el malware utilizado para mantener el acceso a las redes infectadas utilizando un túnel cifrado, se sometió a una reescritura en.NET.

Además de esto, como informaron nuestros colegas en ESET recientemente, el grupo también comenzó a usar un rootkit UEFI (Interfaz de firmware extensible unificada) conocido como Lojax. Debido a que el rootkit reside dentro de la memoria flash de una computadora, ello permite a los atacantes mantener una presencia persistente en una máquina comprometida incluso si se reemplaza el disco duro o se reinstala el sistema operativo. Los productos de Symantec bloquean los intentos de instalar Lojax con el nombre de detección Trojan.Lojax.

Posibles enlaces a otras operaciones de espionaje

Otro grupo de ataque, Earworm (también conocido como Zebrocy), ha estado activo al menos desde mayo de 2016 y participa en lo que parecen ser operaciones de recopilación de información de inteligencia contra objetivos militares en Europa, Asia Central y Asia Oriental. El grupo utiliza correos electrónicos de phishing para comprometer sus objetivos e infectarlos con malware.

Earworm utiliza dos herramientas de malware. Trojan.Zekapab es un componente descargador que es capaz de realizar funciones básicas de reconocimiento y descargar malware adicional a la computadora infectada. Trojan.Zekapab se instala en las computadoras infectadas seleccionadas y puede tomar capturas de pantalla, ejecutar archivos y comandos, cargar y descargar archivos, realizar operaciones de registro y sistema de archivos, y realizar tareas de información del sistema. En ocasiones, Earworm también ha instalado herramientas adicionales en las computadoras infectadas para el registro de teclas y la captura de contraseñas.

Durante 2016, Symantec observó cierta superposición entre la infraestructura de comando y control (C&C) utilizada por Earworm y la infraestructura C&C utilizada por Grizzly Steppe (el nombre de código del gobierno de EE UU. Para APT28 y actores relacionados), lo que implica una posible conexión entre Earworm y APT28. Sin embargo, Earworm también parece realizar operaciones separadas de APT28 y, por lo tanto, Symantec las rastrea como un grupo distinto.

Una amenaza en curso

Ahora está claro que después de estar implicado en los ataques a las elecciones presidenciales de los EE UU a fines de 2016, APT28 no se dejó intimidar por la publicidad resultante y continúa organizando nuevos ataques con sus herramientas existentes. Después de su incursión en ataques abiertos y perturbadores en 2016, el grupo volvió a sus raíces y montó operaciones de recopilación de inteligencia contra una serie de objetivos. Esta actividad en curso y el hecho de que APT28 continúe refinando su conjunto de herramientas significa que el grupo probablemente continuará representando una amenaza significativa para los objetivos de los estados nacionales.

Protección

Symantec ha implementado las siguientes protecciones para proteger a los clientes contra los ataques APT28:

  • Trojan.Sofacy
  • Backdoor.SofacyX
  • Infostealer.Sofacy
  • OSX.Sofacy
  • Trojan.Shunnael
  • Trojan.Lojax

Inteligencia de amenazas

Los clientes del servicio DeepSight Intelligence Managed Adversary and Threat Intelligence (MATI) han recibido informes sobre el ‘Swallowtail’ (también conocido como APT28), que detallan los métodos para detectar y frustrar las actividades de este adversario.

Comentarios al artículo/noticia

Nuevo comentario

Identificarse | Registrarse 

Atención

Los comentarios son la opinión de los usuarios y no la del portal. No se admiten comentarios insultantes, racistas o contrarios a las leyes vigentes. No se publicarán comentarios que no tengan relación con la noticia/artículo, o que no cumplan con el Aviso legal y la Política de Protección de Datos.

Advertencias Legales e Información básica sobre Protección de Datos Personales:
Responsable del Tratamiento de sus datos Personales: Interempresas Media, S.L.U. Finalidades: Gestionar el contacto con Ud. Conservación: Conservaremos sus datos mientras dure la relación con Ud., seguidamente se guardarán, debidamente bloqueados. Derechos: Puede ejercer los derechos de acceso, rectificación, supresión y portabilidad y los de limitación u oposición al tratamiento, y contactar con el DPD por medio de lopd@interempresas.net. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar una reclamación ante la AEPD.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos