“Termita azul”: la campaña de ciberespionaje que lleva dos años infectando a organizaciones en Japón


El polémico player de Flash vuelve a estar involucrado en una nueva campaña de ciberataques y ciberespionaje, esta vez como víctima “colateral”. El GREAT (Global Research & Analysis Team) de Kaspersky Lab ha descubierto Termita Azul – una campaña de ciberespionaje que estaba dirigida a cientos de organizaciones en Japón durante al menos dos años. Los ciberatacantes buscaban información confidencial y utilizaban precisamente un exploit zero-day en Flash Player, además de un  sofisticado backdoor que se personalizaba para cada víctima. Una campaña de ataque, que según confirma la compañía de seguridad, sigue activa.

Hace un año, en octubre de 2014, los analistas de la firma encontraron una muestra de malware que no habían visto nunca: mucho más compleja que otros tipos de malware encontrados hasta la fecha. Pero este sofisticado software malicioso era solamente una parte de la campaña de ciberespionaje. Los objetivos de los atacantes son muchos, organizaciones no gubernamentales, sector financiero, medios de comunicación, organizaciones educativas o sanitarias.

Para infectar a sus víctimas, Termita Azul utiliza varias técnicas. Comenzaron con el envío de spear-phishing (envío de software malicioso como archivo adjunto en un e-mail con contenido atractivo para la víctima), después, comenzaron a difundir malware a través de un exploit Flash zero-day (CVE-2015-5119, que se filtró por el incidente de Hacking Team a principios de este verano. También han usado técnicas de drive-by-download, que consiste en comprometer sitios web para que los visitantes descarguen automáticamente exploits que infectan sus equipos al visitar la página.

Uno de los sitios web comprometidos, perteneciente a un miembro del gobierno japonés, contenía un script malicioso que filtraba a los visitantes según las direcciones IP para centrarse  en los que entraban desde la IP de una organización japonesa concreta. Un sofisticado ataque por el que sólo los usuarios elegidos recibían la carga maliciosa.
Infecciones de “Termina azul” en 2014 y 2015


Tras la infección, se despliega en el equipo una puerta trasera (backdoor) que puede robar contraseñas, descargar y ejecutar la carga útil adicional, recuperar archivos…

Termita Azul suministra a cada víctima una muestra de malware único, creado para lanzarse en un equipo específico, lo que complica el análisis del malware y su detección. Debido a la sofisticación de los ataque, todavía no han podido averiguar quién está detrás de esta campaña de ciberespionaje, aunque el equipo de seguridad de la firma rusa sospecha que puede provenir de China, ya que analizando muestras de lenguaje de las interfaz de usuario de los servidores usados en la operación y algunos documentos técnicos están escritos en chino.

Fuente: globbsecurity.com

Publicar un comentario

 
Mundo Cyberia 2018