CambioDigital-OL

0

Venezuela es el principal blanco de “Machete”

MacheteKaspersky2014Clelia Santambrogio, CWV / @clelia_sa

– Kaspersky Lab descubrió una nueva campaña de ciberespionaje con el nombre clave de ‘Machete’, que se remonta a 2010 y cuyo campo de operación ha sido América Latina, destinada a víctimas de alto perfil, incluyendo gobiernos, fuerzas militares, embajadas y las fuerzas del orden. Venezuela es la principal víctima de estos ataques dirigidos (ATP) en un 42%.

Hasta ahora se sabe que: El gobierno de América Latina que está detrás de Machete habla español, aún no se puede especular sobre sus orígenes, en 2012 hicieron una mejora ajustándolo a las necesidades de los ataques los cuales no utilizaron exploit, sino una acertada inteligencia social, explotando la cultura de las personas y sus costumbres. Además, se presume que en este momento hay otras campañas paralelas a Machete, porque no hay razón para que cesen, porque este tipo de campañas de ciberespionaje son anónimas, rápidas, muy baratas y siempre se pueden negar.

“En este momento hay actores regionales que están detrás de estos ataques dirigidos, están operando desde 2010 haciendo lo mismo que los grandes de Europa o Asia. Esto indica que América Latina no se ha quedado atrás, ya tienen cuatro años haciéndolo y consigo, acumulando mucha experiencia. Hoy ya están descubiertos pero como tienen experiencia van a comenzar a reducir las probabilidades de ser detectados al momento de crear nuevas campañas de ciberespionaje”, advirtió Dmitry Bestuzhev, director del Grupo de Investigación y Análisis para Kaspersky Lab en América Latina, en el marco de la 4ta Cumbre de Analistas de Seguridad llevada a cabo recientemente en Cartagena, Colombia.

¿Cuál es el modo de operar de Machete?
En algunos casos, los atacantes utilizaron mensajes de phishing dirigidos (spear-phishing), en otros phishing dirigido combinado con infecciones vía la web, especialmente por medio de la creación de blogs falsos previamente preparados. “Es cuando te envían algo que te motiva a que le den clik, enviaban correos electrónicos con los adjuntos de Power Point en este caso pueden ver que algunos de muchos adjuntos eran ‘El arte de la guerra’, por ejemplo. La lista es larga, en muchos casos se utilizaban adjuntos como por ejemplo denuncias de corrupción. Utilizaban ingeniería social para cada víctima dependiendo de su perfil porque ya sabían que a la persona le interesa determinado tema. Una vez que lo habrían, este Power Point de una manera oculta se le instalaba los programas de código malicioso de Machete y las personas que los recibía a su vez, los reenviaban unos a otros”, explicó.

machete_sp_2

Blancos de “Machete”

Se sabe además que todos los artefactos técnicos encontrados en esta campaña (como herramientas de ciber-espionaje y el código del lado del cliente) tienen una baja sofisticación técnica en comparación con otras campañas dirigidas a nivel mundial. A pesar de esta simplicidad, expertos de Kaspersky Lab ya han encontraron a 778 víctimas alrededor del mundo, de las cuales Venezuela exhibe el primer lugar de ataques en un 42 % (372 víctimas) seguido de Ecuador (282 víctimas) y Colombia (85 víctimas). Se supo además que aunque los ataques eran contra países de la Región, en Rusia se registraron 45 ataques, uno de los cuales apuntaba a una embajada de uno de los países de América Latina.

“El blanco preferido de Machete: Las Fuerzas Armadas de estos países, además de agencias gubernamentales que manejan información confidencial. Eran agencias de la fuerza pública y embajadas, es decir, no estaban interesados en dinero, les motivaba el robo de información clasificada en materia militar, como desplazamiento de radares, tropas, nóminas, movimientos, todo lo que puede tener un gobierno en cuanto a su seguridad nacional. Este era el perfil en su totalidad. También tenían a un oficial físico del ejército que también filtraba la información”, asevera.

Explicó además que la herramienta de ciberespionaje encontrada en las computadoras infectadas es capaz de realizar diversas funciones y operaciones, como la copia de archivos a un servidor remoto o un dispositivo USB especial (si está insertado), el secuestro del contenido del portapapeles, clave de registro, la captura de audio desde el micrófono del equipo, realizar capturas de pantalla, obtener datos de geolocalización, realizar fotos con la cámara web en las máquinas infectadas.

“La campaña tiene una característica técnica inusual: el uso del código de lenguaje Python copilado en archivos ejecutables de Windows – esto no tiene ninguna ventaja para los atacantes, excepto la facilidad de la codificación. Las herramientas no muestran signos de soporte multi-plataforma ya que el código es fuertemente orientado a Windows; sin embargo, los expertos de Kaspersky han descubierto varias pistas que dan un indicio a que los atacantes han preparado la infraestructura para víctimas que utilizan OSX y Unix. Además de los componentes de Windows, señales de un componente móvil para Android ha sido descubierto también, pero en aquel entonces solo tenía la función de reportar la ubicación geográfica de la víctima, era un desarrollo temprano del modulo para Android”, informó.

Machete hoy
De acuerdo al investigador, es posible que todavía la campaña esté activa aunque los servidores ya estén caídos, pues el uso de los USB infectados,aún continúa. “Esto es algo que habíamos especulado años atrás pero vemos que ya es una realidad: Un gobierno desarrollando este tipo de ataquesdirigidos y ya es hora de tomar medidas para que las naciones protejan su infraestructura”.
En este sentido se informó que a final de este año Kaspersky Lab va a lanzar Servicios Profesionales a gobiernos y organizaciones gubernamentales que quieran aprender a defenderse de este tipo de ataques.

Ordenado por: Antivirus, Seguridad Tags: ,

TOT

 

 

Contenidos recomendados...

Comparta esta publicación

Artículos relacionados

Escriba su comentario

Ud. tiene que estar conectado para publicar comentarios.

Red de publicaciones IDG en Latinoamérica: Computerworld Ecuador - Computerworld Colombia - CIO Perú // Contáctenos
© 6550 Computerworld Venezuela - All rights reserved ---- WordPress - Tema adaptado por GiorgioB