Malware secuestra micrófonos para espiar a empresas ucranianas, científicos y medios de comunicación

Comparte en ...

hackeadoUcrania ha sido una vez más el blanco de un ataque informático potencial que infecta sistemas informáticos de decenas de empresas de Ucrania con el malware altamente sofisticado, permitiendo a los hackers exfiltrate datos sensibles y espiar en su red.

A finales del año pasado, el país también sufrió un apagón causado por el mismo grupo de hackers que tenía como objetivo la red eléctrica de Ucrania con el software malicioso BlackEnergy a finales de 2015, causando 225.000 residentes pierdan la electricidad.

Ahora los investigadores de seguridad de la firma de inteligencia de amenazas Cyberx han descubierto una operación basada en el malware avanzado que ya ha sacado con sifón más de 600 gigabytes de datos de alrededor de 70 organizaciones de víctimas, incluyendo la infraestructura crítica, medios de comunicación, y la investigación científica.

Operación BugDrop: Los daños y el modus operandi

Apodado «Operación BugDrop «, la campaña de malware a gran escala se ha perpetrado contra objetivos en Ucrania, aunque los objetivos de otros países se encuentran Rusia, Arabia Saudita, y Austria.

Cyberx no identificaron a la piratería colectiva, pero dicha operación BugDrop se creía que era el trabajo de los piratas informáticos, los respaldados por el gobierno altamente cualificados con recursos casi ilimitados.

«Operación BugDrop es una operación bien organizada que emplea el malware sofisticado y parece estar respaldado por una organización con recursos sustanciales,» Cyberx en una entrada de blog publicada el miércoles.

«En particular, la operación requiere una gran infraestructura de back-end para almacenar, descifrar y analizar varios GB por día de los datos no estructurados que está siendo capturado de sus objetivos. También se requiere que capten de forma manual y ordenen a través de los datos de un amplio equipo de analistas humanos y procesen de forma manual y/o con el análisis de grandes volúmenes de datos».

 

Técnicas para evitar la detección:

El principal programa de descarga de software malicioso tiene bajas tasas de detección como:

  • El malware hace que los datos de audio se vean como tráfico.
  • BugDrop cifra los archivos DLL que se instalan para evitar su detección por los sistemas tradicionales de antivirus y sandboxing.
  • El malware utiliza el servicio de nube pública de Dropbox.

BugDrop también utiliza Injection Reflective DLL (Dynamic Link Library), una técnica de inyección de malware que también ha sido aprovechada por el malware de BlackEnergy utilizado en los ataques de la red eléctrica ucraniana y el malware Duqu en los ataques Stuxnet contra instalaciones nucleares iraníes.

Reflective DLL Injection se utiliza para cargar código malicioso y eludir de forma efectiva los procedimientos de verificación de seguridad sin llamar a la API estándar de Windows.

Objetivos de BugDrop:

El malware se ha dirigido a una amplia gama de industrias, incluyendo infraestructuras críticas, centros de investigación en Ucrania y organizaciones de medios de comunicación.

Según CyberX, el objetivo principal de BugDrop ha sido Ucrania, pero también se ha rastreado a otras partes de Rusia, Arabia Saudita y Austria.

Objetivos BugDrop identificados por los investigadores Cyberx hasta la fecha incluyen:

  • Una empresa que diseña sistemas de monitoreo remoto para las infraestructuras de oleoductos y gasoductos.
  • Una empresa de ingeniería que diseña subestaciones eléctricas, plantas de suministro de agua y tuberías de distribución de gas.
  • Una organización internacional que monitorea la lucha contra el terrorismo, los derechos humanos y los ataques cibernéticos contra las infraestructuras críticas en Ucrania.
  • Un instituto de investigación científica.
  • Editores de periódicos ucranianos.

Mientras concluía el informe, CyberX dijo que tanto las organizaciones del sector privado y público deben estar más vigilantes con el monitoreo de sus redes y la aplicación de tecnologías más modernas como la analítica del comportamiento para identificar y responder rápidamente a estos ataques cada vez más sofisticados.

Comparte en ...
Scroll al inicio