Vuelve Wild Neutron, un grupo hacker con víctimas de alto perfil
Según Kaspersky, el grupo de ciberespionaje utiliza un certificado de verificación de código válido robado y un exploit de Flash desconocido para infectar a empresas y a usuarios particulares y robar información corporativa sensible.
- Las motivaciones y filosofía de los hackers, objeto de un documental en Internet
- "Las empresas han de ser conscientes de que tarde o temprano estarán en el objetivo de los hackers"
- Las tácticas del ciberespionaje se modernizan
- Descubren un grupo de ciberespionaje que ha estado activo cerca de dos décadas
- Los kits de exploits son una amenaza continua
En 2013, un grupo de hackers bautizado por Kaspersky Lab como Wild Neutron, y que también se conoce como "Jripbot" y "Morpho", atacó a varias compañías TI de alto perfil, incluyendo a Apple, Facebook, Twitter y Microsoft. Tras el incidente que fue ampliamente publicitado, el grupo se ocultó durante casi un año, hasta que a principios de 2014 se reanudaron los ataques, que han continuado en 2015.
En la actividad de Wild Neutron, Kaspersky ha identificado objetivos en 11 países, entre ellos Francia, Rusia, Suiza, Alemania y Estados Unidos. Entre los objetivos figuran despachos de abogados, compañías de Bitcoins, compañías inversoras, compañías de TI, entidades gubernamentales, compañías de salud y usuarios particulares. El foco de los ataques sugiere que Wild Neutron no es un grupo patrocinado por un estado-nación. Sin embargo, el uso de exploits de día cero, malware multiplataforma, así como de otras técnicas hace que los investigadores de Kaspersky Lab sospechen que hay una entidad poderosa involucrada en el espionaje, posiblemente por razones económicas.
El vector de la infección inicial de los recientes ataques aún se desconoce, aunque hay indicios claros de que las víctimas son infectadas por un kit que aprovecha una vulnerabilidad desconocida de Flash Player explotada a través de sitios web comprometidos. El exploit entrega un paquete de software malicioso a la víctima, que está firmado con un certificado de verificación de código válido, que al parecer ha sido tobado de un fabricante de electrónica de consumo muy conocido. Ahora dicho certificado está siendo revocado.
En términos de funcionalidad, el backdoor principal no es diferente a muchas otras herramientas de acceso remoto. Lo que realmente destaca es el cuidado del atacante en ocultar la dirección del servidor de comando y control, y su capacidad para recuperarse de un posible derribo. Una serie de medidas especiales integradas en el malware ayudan a los atacantes a proteger la infraestructura de cualquier posible interrupción del servidor de comando y control.
"Wild Neutron es un grupo competente y muy versátil. Activo desde 2011, ha estado usando por lo menos un exploit de día cero, malware personalizado y herramientas para Windows y OS X. A pesar de que en el pasado ha atacado a algunas de las empresas más importantes en el mundo, ha logrado mantener un perfil relativamente bajo a través de una seguridad operacional sólida que hasta ahora ha eludido a la mayoría de los esfuerzos de derribo. La orientación del grupo hacia las principales empresas de TI, desarrolladores de software espía, foros yihadistas y compañías de Bitcoins indican una mentalidad e intereses inusualmente flexibles", explica Costin Raiu, director del Equipo de Análisis e Investigación Global de Kaspersky Lab.
