"Operación Troya" contra Corea del Sur
La compañia de seguridad McAfee cree que los ataques del 20 de marzo que afectó a bancos de Corea del Sur y agencias de noticias eran parte de una campaña de espionaje a largo plazo, denominada "Operación Troya" que nació en 2009 y estaba destinada al robo de datos confidenciales militares y gubernamentales. El ataque causó una cantidad significativa de daño a las organizaciones afectadas al eliminar completamente discos rígidos de miles de sistemas.
Al parecer esta parte de la operación ha afectado a 30.000 computadoras y ha sido denominada el "Dark Seúl". Uno de los pilares de Dark Seoul es la destrucción del Master Boot Record (MBR) de las máquinas infectadas. Esta capacidad es compartida con el malware de "Operación Troya" y McAfee dice que hay suficientes similitudes como para decir que provenían del mismo grupo.
Si bien aún no está claro si el ataque fue patrocinado por el estado, Mcafee dice en su informe [PDF], que la operación ha estado ativa desde 2009 y fue llevada a cabo por dos grupos denominadso "New Romanic Cyber Army Team" y "Whois Hacking Team".
Los atacantes utilizaron un troyano llamado 3Rat, que busca documentos de interés mediante el escaneo de los equipos y mediante palabras claves militares en inglés y coreano. Una vez que el malware identifica los documentos, los archivos son cifrados y enviados a los atacantes.
"Esta capacidad podría ser devastadora en redes militares ya que el troyano ganó acceso a los documentos, fueron enviados al exterior y posteriormente eliminados completamente desde los sistemas atacados".
Los ataques inicialmente fueron trazados hacia direcciones IP de China pero posteriormente la Korea Communications Commission corrigió la información mencionados que las IP eran locales.
Cristian de la Redacción de Segu-Info
Al parecer esta parte de la operación ha afectado a 30.000 computadoras y ha sido denominada el "Dark Seúl". Uno de los pilares de Dark Seoul es la destrucción del Master Boot Record (MBR) de las máquinas infectadas. Esta capacidad es compartida con el malware de "Operación Troya" y McAfee dice que hay suficientes similitudes como para decir que provenían del mismo grupo.
Los atacantes utilizaron un troyano llamado 3Rat, que busca documentos de interés mediante el escaneo de los equipos y mediante palabras claves militares en inglés y coreano. Una vez que el malware identifica los documentos, los archivos son cifrados y enviados a los atacantes.
"Esta capacidad podría ser devastadora en redes militares ya que el troyano ganó acceso a los documentos, fueron enviados al exterior y posteriormente eliminados completamente desde los sistemas atacados".
Los ataques inicialmente fueron trazados hacia direcciones IP de China pero posteriormente la Korea Communications Commission corrigió la información mencionados que las IP eran locales.
Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!