Descubren nueva forma de espionaje manual e indetectable

Rapidez, precisión y ejecución manual de las operaciones, para posteriormente desaparecer por completo, son las principales características de Icefog, nuevo grupo de ciber mercenarios que realiza ataques ATP (amenazas persistentes y avanzadas, por sus siglas en inglés) a cadenas de suministro de empresas occidentales desde inicio de 2011. Investigadores de Kaspersky Lab, quienes revelaron este hallazgo, niegan su nexo con los recientes ataques ATP realizados en China, pese a que, presuntamente, tienen su origen en este país.

El objetivo de esta nueva campaña es encontrar información precisa, sensible y confidencial en el disco duro de computadoras y dispositivos móviles. Misma que ha pasado por varias etapas de desarrollo. Primeramente se enfocó en  equipos con sistema operativo Windows y después Mac.

A la fecha, se han detectado más de 4,000 IP infectadas, mismas que han perjudicado a centenares de víctimas de Windows y más de 350 usuarios de Mac OS X.

A diferencia de otros ciberdelincuentes, en donde la extracción es automatica, en Icefog los atacantes revisan manualmente el contenido del disco duro para asegurarse de que no se trate de una máquina virtual o una trampa preparada por investigadores, según lo detalló el director del Equipo Global de Investigación y Análisis de Kaspersky Lab en América Latina, Dmitry Bestuzhev, quien platicó en exclusiva con b:Secure sobre este hallazgo.

Mediante este modus operandise aseguran de que sea una máquina real, copian la información y posteriormente se desconectan de esta para siempre: “Esta campaña se caracteriza por robar una vez y desaparecer por completo para no ser rastreada. En el pasado no había estas prácticas, es un jugador nuevo pues no es alguien que también haya estado detrás de los ataques ATP realizados en China”, destacó.

Anteriormente, gobiernos y militares estaban detrás de este tipo de amenazas avanzadas. Sin embrago, hoy existen delincuentes cuya principal motivación es el dinero, Icefog es una de ellas.

Ha realizado ataques a operaciones militares, navales y marítimas; informática y desarrollo de software, empresas de investigación, operadores de telecomunicaciones, operadores de satélites, medios de comunicación masiva y television de países como Japón, Corea y Taiwan.

Ataques avanzados en América Latina

El director no descartó la posibilidad de que a la fecha existan víctimas de Icefog en América Latina, ya que el método de propagación de esta amenaza es mediante ingeniería social, a través de correo electrónico o páginas web públicas en China.

“Quzás esta campaña también haya afectado a personas de América Latina que hayan visitado páginas chinas”.

Asimismo, recordó que en la región existe otro tipo de ataques ATP, no relacionados con esta campaña, y que utilizan patrones de motivación similares.

Remarcó el hecho que que esta investigación se logró gracias al trabajo conjunto con Gobierno y empresas de occidente, pues en junio de 2013, el grupo de investigadores recibió una muestra de un correo, el cual sirvió para iniciar la investigación.

No obstante, dijo que en el caso de México, resulta complicado trabajar de la mano con empresas de alto perfil, sobre todo por temas de privacidad y miedo.

“Es muy importante para nosotros colaborar en conjunto pues seguramente existen muchas campañas ocultas y las víctimas no lo saben”.

Dijo que por ahora, Icefog se centra en naciones tecnológicamente avanzadas, las cuales tardaron en conocer la existencia de esta campaña. Por lo que  países potenciales como México también pueden sufrir este tipo de ataques. Ante esto, invitó a empresas y Gobierno a trabajar juntos en este tipo de iniciativas.

Fuente: b-secure