Durante el segundo trimestre de 2018, los investigadores de Kaspersky Lab observaron un alto nivel de actividad en operaciones de amenazas persistentes avanzadas (APT, por sus siglas en inglés), principalmente en Asia, que involucran tanto a agentes de amenazas conocidos como a otros menos familiares. Varios grupos seleccionaron o programaron sus campañas en torno a incidentes geopolíticos sensibles. Estas y otras tendencias se incluyen en el reporte trimestral más reciente de inteligencia contra amenazas presentado por Kaspersky Lab.
Durante abril, mayo y junio de 2018, los investigadores de Kaspersky Lab continuaron descubriendo nuevas herramientas, técnicas y campañas difundidas por grupos de amenazas persistentes avanzadas (APT, por sus siglas en inglés), algunos de los cuales habían permanecido en silencio durante años. Asia siguió siendo el centro de interés de los APT: grupos regionales, como Lazarus y Scarcruft, de habla coreana, estuvieron especialmente ocupados y los investigadores descubrieron un implante llamado LightNeuron que estaba siendo utilizado por el grupo Turla de habla rusa para apuntar a objetivos en Asia Central y Medio Oriente.
Los puntos destacados en el segundo trimestre de 2018 incluyen:
- El regreso de los actores detrás del Olympic Destroyer. Después de su ataque en enero de 2018 contra los Juegos Olímpicos de Invierno de Pyeongchang, los investigadores descubrieron lo que creían que era una nueva actividad de este agente, dirigido a organizaciones financieras en Rusia y laboratorios de prevención de amenazas bioquímicas en Europa y Ucrania. Varios indicadores sugieren una baja o mediana posibilidad de un vínculo entre el Olympic Destroyer y el agente de amenazas de habla rusa Sofacy.
- Lazarus/BlueNoroff. Hubo indicios de que este notorio APT tenía por objetivo a instituciones financieras en Turquía como parte de una campaña de ciberespionaje más grande, así como a casinos en América Latina. Estas operaciones sugieren que la actividad con fines económicos continúa para este grupo, a pesar de las conversaciones de paz que están en curso en Corea del Norte.
- Los investigadores observaron una actividad relativamente alta de la APT Scarcruft, en la que el agente de amenazas usa malware de Android y pone en marcha una operación con una nueva puerta trasera a la que los investigadores llaman POORWEB.
- La APT LuckyMouse, un agente de amenazas de habla china -también conocido como APT 27- que ha abusado de proveedores de servicios de Internet en Asia para realizar ataques del tipo waterhole en sitios web conocidos, fue encontrada apuntando a entidades gubernamentales de Kazajistán y Mongolia mientras estos gobiernos se reunían en China.
- La campaña VPNFilter descubierta por Cisco Talos y atribuida por el FBI a Sofacy o Sandworm, reveló la inmensa vulnerabilidad del hardware de redes domésticas y las soluciones de almacenamiento a los ataques. Esta amenaza puede incluso inyectar malware en el tráfico para infectar computadoras que se encuentran detrás del dispositivo de red infectado. El análisis de Kaspersky Lab confirmó que se pueden encontrar rastros de esta campaña en casi todos los países.
“El segundo trimestre de 2018 fue muy interesante en términos de la actividad de los APT, con campañas notables que nos recuerdan cuán reales se han vuelto algunas de las amenazas que hemos estado prediciendo en los últimos años. En particular, hemos advertido repetidamente que el hardware de redes es ideal para ataques dirigidos y señalado la existencia y propagación de una actividad avanzada que se centra en estos dispositivos”, dijo Vicente Díaz, investigador principal de seguridad para Kaspersky Lab.
El reporte Tendencias de APT para el segundo trimestre resume los hallazgos de los informes de inteligencia contra amenazas de Kaspersky Lab, exclusivos para suscriptores, e incluye también los datos de Indicadores de peligro (IOC por sus siglas en inglés) y reglas YARA para ayudar en la investigación forense y la detección de malware. Para obtener más información, póngase en contacto con: [email protected]
Puede encontrar el informe resumido de Tendencias de APT para el segundo trimestre en Securelist.