El Equipo Global de Investigación y Análisis de Kaspersky Lab (GReAT por sus siglas en inglés) publicó un informe en el cual describe una nueva campaña de ciberespionaje avanzada la cual utiliza malware para infectar entidades de alto perfil muy específicas. Se cree que en Estados Unidos, la Casa Blanca y El Departamento de Estado están incluidos como objetivos, aunque la lista del atacante también incluye organizaciones gubernamentales y entidades comerciales en Alemania, Corea del Sur y Uzbekistán.
Junto con su focalización muy precisa de víctimas del más alto perfil, el actor presenta otras características preocupantes, aunque fascinantes. Estas incluyen el uso de capacidades de cifrado y anti-detección. Por ejemplo, el código busca la presencia de varios productos de seguridad con el fin de evadirlos, entre ellos: Kaspersky Lab, Sophos, DrWeb, Avira, Crystal y Comodo Dragon.
Conexión con otros actores del ciberespionaje
Los expertos de seguridad de Kaspersky Lab desenmascararon la fuerte funcionalidad maliciosa del programa, así como similitudes estructurales semejantes a las herramientas de las campañas de ciberespionaje MiniDuke, CosmicDuke y OnionDuke; operaciones que, según varios indicadores, se cree que están administradas por autores de lengua rusa. Las observaciones de Kaspersky Lab muestran que MiniDuke y CosmicDuke están todavía activos y atacando organizaciones diplomáticas, embajadas, energía, compañías de gas y petróleo, telecomunicaciones, militares e instituciones académicas y de investigación en varios países.
Método de distribución
El actor de CozyDuke a menudo infecta a sus objetivos con correos electrónicos que contienen un enlace a un sitio web hackeado – a veces se trata de sitios legítimos de alto perfil como ‘diplomacy.pl’ – que alberga un archivo ZIP infectado con malware. En otras operaciones de mucho éxito, este actor envía videos flash falsos con archivos ejecutables maliciosos incluidos como correos electrónicos anexos.
CozyDuke utiliza una puerta trasera y un «dropper» (instalador). El programa malicioso envía información acerca del objetivo al servidor de comando y control, y recupera archivos de configuración y módulos adicionales que implementan alguna funcionalidad extra necesaria para los atacantes.
«Hemos estado vigilando a MiniDuke y a CosmicDuke durante un par de años. Kaspersky Lab fue el primero en advertir acerca de los ataques de MiniDuke en el 2013, y las muestras conocidas más «antiguas» de esta ciberamenaza son del año 2008. CozyDuke está definitivamente conectado a estas dos campañas, así como a la operación de ciberespionaje OnionDuke. Cada uno de estos actores continúa rastreando sus objetivos, y nosotros creemos que sus herramientas de espionaje están creadas y administradas por hablantes de idioma ruso», dice Kurt Baumgartner, Investigador Principal de Seguridad del Equipo Global de Investigación y Análisis de Kaspersky Lab.
Los productos de Kaspersky Lab detectan todas las muestras conocidas y protegen a los usuarios contra esta amenaza.
Consejos para los usuarios
- No abra archivos anexos y sospechosos de personas que usted no conoce
- Analice regularmente su computadora con una solución anti-malware avanzada
- Tenga cuidado con archivos ZIP que contengan archivos SFX
- Si no está seguro del archivo anexo, trate de abrirlo en un «sandbox» (espacio aislado)
- Asegúrese de que tiene un sistema operativo moderno con todos los parches instalados
- Actualice todas las aplicaciones de terceros como Microsoft Office, Java, Flash Player de Adobe y Adobe Reader.