Un artículo escrito
para otra guerra, que es la misma de siempre Kaspersky Lab dio a conocer un análisis a fondo del malware e
infraestructura de los servidores de comando y control (C&C) relacionado
con la campaña de ciberespionaje conocida como Crouching Yeti (Yeti Agachado).
Los blancos de esta campaña incluyen victimas de varios sectores estratégicos.
El número total de víctimas conocidas supera las 2.800 en todo el
mundo, de las cuales los investigadores de Kaspersky Lab fueron capaces
de identificar a 101 empresas a nivel mundial entre las que también se
registran organizaciones de Colombia.
Esta lista de víctimas parece indicar que el interés de Crouching
Yeti se centra en blancos estratégicos, pero también muestra interés de
grupo en muchas otras instituciones no tan obvias. Los expertos de
Kaspersky Lab creen que podría tratarse de víctimas colaterales.
La campaña utiliza herramientas ampliamente expandidas en la red como
los troyanos Havex y Sysmain, los backdoor ClientX, Karagany y ladrones
relacionados.
En la actualidad, el Troyano Havex es conocido por tener dos módulos
muy especiales destinados a recopilar y transmitir al atacante los datos
de entornos de TI industriales específicos. El primero es el módulo de
análisis OPC. Este módulo está diseñado para recopilar los datos
extremadamente detallados de los servidores OPC que corren en la red
local. Dichos servidores se suelen utilizar donde múltiples sistemas de
automatización industrial están operando.
El módulo de análisis OPC viene acompañado por una herramienta de
escaneo de redes. Este módulo está diseñado para analizar la red local,
buscar todas las computadoras conectadas a los puertos relacionados con
el software OPC/SCADA, e intentar conectarse a dichos hosts para
identificar qué sistema OPC/SCADA potencial está corriendo.
En el estudio se observaron muchas características que podrían
apuntar hacia el origen nacional de los delincuentes detrás de esta
campaña. En particular, realizaron el análisis del sello de tiempo del
archivo de 154 archivos y llegaron a la conclusión que la mayoría de las
muestras fueron recopiladas entre las 06:00 y las 16:00 UTC, que
podrían coincidir con prácticamente cualquier país de Europa, así como
de Europa Oriental.
Las cadenas presentes en el malware analizado están en inglés
(escrito por no nativos). Durante la investigación no se pudo llegar a
una conclusión definitiva con respecto a que este actor fuera de origen
ruso. En casi 200 archivos binarios maliciosos y en el contenido
operativo relacionado hay una falta total de contenido cirílico (o
transliteración). Además, se encontraron pistas que señalan a hablantes
de idioma francés y sueco.
Tomado de http://www.eluniversal.com.co
No hay comentarios:
Publicar un comentario