lunes, 11 de agosto de 2014

Campaña de espionaje con más 2.800 blancos a nivel mundial


 Ataques informáticos destinados al espionaje.

Un artículo escrito para otra guerra, que es la misma de siempre Kaspersky Lab dio a conocer un análisis a fondo del malware e infraestructura de los servidores de comando y control (C&C) relacionado con la campaña de ciberespionaje conocida como Crouching Yeti (Yeti Agachado). Los blancos de esta campaña incluyen victimas de varios sectores estratégicos.


El número total de víctimas conocidas supera las 2.800 en todo el mundo, de las cuales los investigadores de Kaspersky Lab fueron capaces de identificar a 101 empresas a nivel mundial entre las que también se registran organizaciones de Colombia.

Esta lista de víctimas parece indicar que el interés de Crouching Yeti se centra en blancos estratégicos, pero también muestra interés de grupo en muchas otras instituciones no tan obvias. Los expertos de Kaspersky Lab creen que podría tratarse de víctimas colaterales.

La campaña utiliza herramientas ampliamente expandidas en la red como los troyanos Havex y Sysmain, los backdoor ClientX, Karagany y ladrones relacionados.

En la actualidad, el Troyano Havex es conocido por tener dos módulos muy especiales destinados a recopilar y transmitir al atacante los datos de entornos de TI industriales específicos. El primero es el módulo de análisis OPC. Este módulo está diseñado para recopilar los datos extremadamente detallados de los servidores OPC que corren en la red local. Dichos servidores se suelen utilizar donde múltiples sistemas de automatización industrial están operando.

El módulo de análisis OPC viene acompañado por una herramienta de escaneo de redes. Este módulo está diseñado para analizar la red local, buscar todas las computadoras conectadas a los puertos relacionados con el software OPC/SCADA, e intentar conectarse a dichos hosts para identificar qué sistema OPC/SCADA potencial está corriendo.

En el estudio se observaron muchas características que podrían apuntar hacia el origen nacional de los delincuentes detrás de esta campaña. En particular, realizaron el análisis del sello de tiempo del archivo de 154 archivos y llegaron a la conclusión que la mayoría de las muestras fueron recopiladas entre las 06:00 y las 16:00 UTC, que podrían coincidir con prácticamente cualquier país de Europa, así como de Europa Oriental.

Las cadenas presentes en el malware analizado están en inglés (escrito por no nativos). Durante la investigación no se pudo llegar a una conclusión definitiva con respecto a que este actor fuera de origen ruso. En casi 200 archivos binarios maliciosos y en el contenido operativo relacionado hay una falta total de contenido cirílico (o transliteración). Además, se encontraron pistas que señalan a hablantes de idioma francés y sueco. 

Tomado de  http://www.eluniversal.com.co

No hay comentarios:

Publicar un comentario en la entrada

ShareThis

LinkWithin

Related Posts Plugin for WordPress, Blogger...