Nueva tendencia cibercriminal: Guerras APT

Kaspersky Lab ha registrado un ejemplo inusual de un cibercriminal atacando a otro. En 2014, Hellsing, un pequeño y técnicamente mediocre grupo de ciberespionaje enfocado principalmente en las organizaciones gubernamentales y diplomáticas de Asia, fue sometido a un ataque de spear phishing por otro grupo y decidió contraatacar.

El descubrimiento fue hecho durante una investigación sobre la actividad de Naikon, un grupo de ciberespionaje también enfocado a organizaciones de la región Asia-Pacífico. Los expertos notaron que una de las víctimas de Naikon había detectado un intento de infectar sus sistemas con un correo electrónico de spear phishing que incluía un archivo adjunto malicioso.

La víctima cuestionó la autenticidad del correo electrónico al remitente y, al no quedar satisfecho con la respuesta, no abrió el archivo adjunto. Poco después, dicha víctima reenvió al remitente un correo electrónico que contenía el propio malware con que había sido atacada. Este fue el detonante de una investigación y llevó al descubrimiento del grupo de APT, Hellsing.

El método del contraataque indica que Hellsing quiso identificar al grupo Naikon y reunir información de inteligencia sobre éste.

Un análisis más profundo de Hellsing revela un rastro de correos electrónicos de spear phishing con archivos adjuntos maliciosos diseñados para propagar el malware de espionaje entre diferentes organizaciones. Si la víctima abre el archivo adjunto malicioso, su sistema se infecta con una puerta trasera personalizada capaz de descargar y cargar archivos, actualizarse y desinstalarse a sí mismo. Según las observaciones de Kaspersky Lab, son cerca de 20 las organizaciones que han sido blanco de Hellsing.

La compañía ha detectado y bloqueado el software malicioso de Hellsing en Malasia, Filipinas, India, Indonesia y los Estados Unidos, la mayoría de las víctimas localizadas en Malasia y Filipinas. Los atacantes también son muy selectivos en cuanto al tipo de organizaciones objetivo, tratando de infectar en su mayoría a entidades gubernamentales y diplomáticas.

«Que Hellsing fijara como objetivo al grupo Naikon en una especie de cacería de vampiros estilo ‘El imperio contraataca’ es fascinante. En el pasado, hemos visto grupos APT atacarse accidentalmente entre sí mientras roban las libretas de direcciones de las víctimas y luego envian correo masivo a todos en cada una de esas listas. Sin embargo, teniendo en cuenta la orientación y el origen del ataque, parece más probable que sea un ejemplo de un ataque APT a APT deliberado», dijo Costin Raiu, Director del equipo de Investigación Global y Análisis de Kaspersky Lab.

El grupo Hellsing inició operaciones aparentemente en 2012 o antes y permanece activo.

Fuente: seguridad.unam.mx