CIBERCRIMEN | Noticias | 23 ABR 2015

Descubren una nueva campaña de ciberespionaje relacionada con Miniduke

Mediante la técnica de spearphishing, CozyDuke es un nuevo actor malicioso que busca atacar objetivos gubernamentales con mensajes de correo electrónico que contienen un enlace a un sitio web hackeado.
hacker ciberespia
Hilda Gómez

El equipo de análisis e investigación global de Kaspersky Lab ha descubierto una nueva campaña de ciberespionaje avanzada que emplea un software malicioso para golpear entidades de alto perfil muy específicas. CozyDuke, que es como ha sido bautizada, tiene entre sus  objetivos organizaciones gubernamentales y entidades de Estados Unidos, Alemania y Corea del Sur, entre ellos la propia Casa Blanca. Junto a su foco en víctimas de perfil, la amenaza exhibe otra característica fascinante, aunque preocupante, que es el uso de capacidades de cifrado y anti-detección, con el fin de evadir varios productos de seguridad de Kaspersky Lab, Sophos, Dr.Web y Avira, entre otros.

Los expertos en seguridad de Kaspersky Lab descubrieron grandes similitudes entre CozyDuke y otras campañas de ciberespionaje como MiniDuke, CosmicDuke y OnionDuke, que, de acuerdo con una serie de indicadores, se cree que son gestionadas por los autores de habla rusa. Según los investigadores, MiniDuke y CosmicDuke siguen activos y se dirigen a organizaciones diplomáticas y embajadas, compañías energéticas, de petróleo y gas, de telecomunicaciones, militares e instituciones académicas y de investigación en varios países.

CozyDuke se propaga a través de spearphishing, con mensajes de correo electrónico que contienen un enlace a un sitio web hackeado, a menudo legítimo y de alto perfil, como ‘diplomacy.pl’, que aloja un archivo ZIP con malware. En otros casos, este actor envía falsos vídeos flash con los ejecutables maliciosos incluidos como adjuntos de correo electrónico.

CozyDuke utiliza una puerta trasera y un gotero. El programa malicioso envía información sobre el objetivo al servidor de comando y control, y recupera los archivos de configuración y módulos adicionales que implementan alguna funcionalidad extra necesitada por los atacantes.

"Hemos estado monitorizando tanto MiniDuke como CosmicDuke durante un par de años. Kaspersky Lab fue el primero en alertar sobre los ataques MiniDuke en 2013, cuyas muestras "más antiguas" se remontan a 2008. CozyDuke está definitivamente conectado a estas dos campañas, así como a la operación de ciberespionaje OnionDuke. Cada uno de estos actores continúa siguiendo a sus objetivos, y creemos que sus herramientas de espionaje han sido creadas y administradas por personas de habla rusa", señala dice Kurt Baumgartner, investigador principal de seguridad de Kaspersky Lab.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información