La APT Darkhotel
Casi como Crouching Yeti, la Amenaza Persistente Avanzada (APT) Darkhotel [PDF] es turbia, resistente, rica en recursos y muestra una combinación de características muy inusual.
Esta amenaza operan lanzando ataques dirigidos precisos con exploits avanzados Flash para vulnerabilidades de día cero, que evaden así las últimas defensas de Windows y Adobe (video). Pero también se propagan de forma imprecisa y masiva hacia objetivos indefinidos con tácticas de difusión peer-to-peer. Como si esto fuera poco, una de las características más únicas e inusuales de este grupo es que durante varios años ha sido capaz de seguir y atacar blancos en movimiento mediante las redes de hoteles que sirven a los viajeros internacionales. Estos viajeros suelen ser ejecutivos de alto rango de varias industrias que hacen negocios y subcontratos con la región de Asia y el Pacífico, incluyendo directores ejecutivos, vicepresidentes, directores de ventas, encargados de investigación y desarrollo, entre otros.
Esta intrusión a la red del hotel ayuda a los atacantes a conseguir acceso global a sistemas muy valiosos. Nuestras observaciones indican que el mayor volumen de ataques a redes de hoteles comenzó en agosto de 2010 y continuó a lo largo de 2013, pero estamos investigando algunos incidentes que vimos en 2014.
Además de contaminar las redes p2p para infectar a las masas, deslegitimizan a las Autoridades de Certificación para que sus ataques avancen. Abusan de sus certificados digitales débiles para firmar sus códigos maliciosos. De este modo, el atacante abusó de la confianza de al menos diez CAs. En la actualidad, roban y reciclan otros certificados legítimos para firmar la mayoría de sus puertas traseras estáticas y paquetes de herramientas para robar información. Su infraestructura crece y se reduce con el tiempo, sin mostrar un patrón consistente. Está protegida con un cifrado de datos flexible, pero sus funcionalidades pobres debilitan sus defensas.
Las víctimas de los ataques pueden agruparse en las siguientes categorías:
Cuando los analistas de Kaspersky visitaron los hoteles donde tuvieron lugar incidentes de Darkhotel, intentaron tender una trampa “honeypot”, no lograron atraer ningún ataque, lo que indica que los atacantes tienen un conocimiento muy selectivo y actúan de acuerdo a ello. Estudios posteriores demostraron lo cuidadosos que son los atacantes para esconder sus actividades: tan pronto como infectaron a un blanco, eliminaron sus herramientas de la vista de la red del hotel para mantenerse ocultos.
La actividad y los objetos de Darkhotel han salido a flote por partes durante los últimos años, pero hemos identificado herramientas Darkhotel que datan de 2007. Considerando sus técnicas ricas en recursos, sus métodos avanzados de explotación y su amplia infraestructura dinámica, creemos que veremos más actividades de Darkhotel en los años venideros. Nuestro informe de Darkhotel y apéndices que contienen indicadores e información técnica recopila y organiza la información sobre las actividades de esta amenaza obtenida hasta el momento.
Fuente: Viruslist
Esta amenaza operan lanzando ataques dirigidos precisos con exploits avanzados Flash para vulnerabilidades de día cero, que evaden así las últimas defensas de Windows y Adobe (video). Pero también se propagan de forma imprecisa y masiva hacia objetivos indefinidos con tácticas de difusión peer-to-peer. Como si esto fuera poco, una de las características más únicas e inusuales de este grupo es que durante varios años ha sido capaz de seguir y atacar blancos en movimiento mediante las redes de hoteles que sirven a los viajeros internacionales. Estos viajeros suelen ser ejecutivos de alto rango de varias industrias que hacen negocios y subcontratos con la región de Asia y el Pacífico, incluyendo directores ejecutivos, vicepresidentes, directores de ventas, encargados de investigación y desarrollo, entre otros.
Esta intrusión a la red del hotel ayuda a los atacantes a conseguir acceso global a sistemas muy valiosos. Nuestras observaciones indican que el mayor volumen de ataques a redes de hoteles comenzó en agosto de 2010 y continuó a lo largo de 2013, pero estamos investigando algunos incidentes que vimos en 2014.
Además de contaminar las redes p2p para infectar a las masas, deslegitimizan a las Autoridades de Certificación para que sus ataques avancen. Abusan de sus certificados digitales débiles para firmar sus códigos maliciosos. De este modo, el atacante abusó de la confianza de al menos diez CAs. En la actualidad, roban y reciclan otros certificados legítimos para firmar la mayoría de sus puertas traseras estáticas y paquetes de herramientas para robar información. Su infraestructura crece y se reduce con el tiempo, sin mostrar un patrón consistente. Está protegida con un cifrado de datos flexible, pero sus funcionalidades pobres debilitan sus defensas.
Las víctimas de los ataques pueden agruparse en las siguientes categorías:
- Grandes fabricantes de productos electrónicos
- Capital de inversiones y fondos de capital privado
- Farmacias
- Deslocalización y venta de productos cosméticos y químicos
- Deslocalización de fabricantes de automóviles
- Ensamblaje, distribución, venta y servicios de automóviles
- Bases de defensa industrial
- Servicios de autoridades y ejércitos
- Organizaciones no-gubernamentales
Cuando los analistas de Kaspersky visitaron los hoteles donde tuvieron lugar incidentes de Darkhotel, intentaron tender una trampa “honeypot”, no lograron atraer ningún ataque, lo que indica que los atacantes tienen un conocimiento muy selectivo y actúan de acuerdo a ello. Estudios posteriores demostraron lo cuidadosos que son los atacantes para esconder sus actividades: tan pronto como infectaron a un blanco, eliminaron sus herramientas de la vista de la red del hotel para mantenerse ocultos.
La actividad y los objetos de Darkhotel han salido a flote por partes durante los últimos años, pero hemos identificado herramientas Darkhotel que datan de 2007. Considerando sus técnicas ricas en recursos, sus métodos avanzados de explotación y su amplia infraestructura dinámica, creemos que veremos más actividades de Darkhotel en los años venideros. Nuestro informe de Darkhotel y apéndices que contienen indicadores e información técnica recopila y organiza la información sobre las actividades de esta amenaza obtenida hasta el momento.
Fuente: Viruslist
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!