GeekZilla
Image default
Geekzilla » Symantec: reporte de malware sobre olas de ataques espía
Noticias

Symantec: reporte de malware sobre olas de ataques espía

Ante ataques de malware nunca estamos suficientemente protegidos, y las empresas y gobiernos tampoco, según noticias recibidas por parte de los servicios de inteligencia de Symantec acerca de ataques espía.

La empresa Symantec nos hace un reporte acerca del grupo de espionaje Waterbug (conocido también como Turla), quien ha atacado mediante tres campañas a organizaciones internacionales públicas y privadas, durante poco más de un año.

El procedimiento de este tipo de organizaciones espía es usar virus de rápida evolución. Symantec menciona que, al parecer, también operan secuestrando la infraestructura de otros grupos de espionaje para llevar a cabo sus ataques.

Uno de los grandes objetivos recientes de este tipo de espionaje se ubica en Medio Oriente aunque sus campañas de ataque abarcan Europa y Sudamérica. Symantec nos explica la manera en que ese grupo ataca.

Infiltramiento silencioso

Symantec y su sección de Inteligencia han identificado los malware utilizados para perpretar las olas de ataques espía.

Waterbug utiliza Neptun y otros virus que se infiltran en el sistema de otros programas para robar información, realizar grabaciones ilícitas y robar archivos, principalmente.

Estos virus son conocidos como puertas traseras (backdoors), y funcionan instalándose en el código de programación principal para desactivar la seguridad del algoritmo y poder acceder al sistema.

De esta manera, Neptuno se instala en servidores Microsoft Exchange para llevar a cabo el espionaje. Esta capacidad de entrada al sistema hace que el malware sea más difícil de detectar.

Otra puerta trasera utilizada por Turla es Meterpreter.

Herramientas para el ataque

Waterbug tiene herramientas y recursos para violar la seguridad de sistemas de organismos internacionales. Algunos son los siguientes:

  • Una herramienta que comprueba la presencia de una unidad USB conectada; una vez detectada le roba cierto tipo de archivos y los cifra en un archivo RAR. Después utiliza WebDAV para cargarlas a una unidad de nube de Box.
  • Scripts de Visual Basic efectúan el reconocimiento del sistema después de una infección inicial y luego envían información a servidores de comando y control (C&C) de Waterbug.
  • Scripts de PowerShell efectúan el reconocimiento del sistema y el robo de credenciales de Windows. Luego devuelven esta información a los servidores de C&C de Waterbug.
Meterpreter

Mediante sus investigaciones, Symantec ha detectado que este malware se infiltra mediante programas públicos.

Waterbug utilizó una versión modificada de Meterpreter, la codificó y le dio una extensión .wav para disfrazarlo. Symantec informa que  Meterpreter se ha estado usando por lo menos desde principios de 2018.

Otra estrategia maliciosa consiste en utilizar el código derivado de PowerShellRunner para ejecutar sus scripts sin usar powershell.exe. Es decir, este malware ¡burla la detección destinada a identificar el uso malicioso de PowerShell!

Symantec alerta que este tipo de backdoor nunca había sido detectado en ataques previos.

Symantec tiene definidos los organismos que han sido atacados por Waterbug. Desde inicios de 2018, Waterbug ha atacado instituciones gubernamentales, organizaciones e instituciones educativas latinoamericanas, europeas y asiáticas.

Aún se desconoce si Waterbug solo pretender crear confusión o si los ataques espía forman parte de una planeación estratégica.

Protección de Symantec

Es un hecho que Waterbug cambia con frecuencia sus herramientas de ataque, las cuales muestran un alto grado de adaptabilidad.

Symantec tiene preparada la siguiente protección basada en archivos para defender a sus clientes contra estos ataques:

A la fecha este grupo de espionaje es uno de los enemigos más peligrosos y desafiantes en el contexto de los ataques dirigidos. Ahora que Symantec nos ha prevenido, más vale ahora estar preparados con alguna de las protecciones que la corporación de software especializado nos ofrece.

Artículos relacionados

Este sitio web utiliza cookies para mejorar su experiencia. Asumimos que está de acuerdo al seguir navegando. Aceptar Leer más