El ciberespionaje patrocinado por Estados-nación: complejidad y modularidad versus funcionalidad

Las últimas plataformas, como EquationDrug, ahora están compuestas de muchos módulos complemento que les permite seleccionar y realizar una amplia gama de funciones, dependiendo de su objetivo y de la información que contienen.

Kaspersky Lab ha descubierto que el ciberespionaje patrocinado por Estados-nación es cada vez más sofisticado, se enfoca en usuarios cuidadosamente definidos y utiliza herramientas complejas modulares, y se mantiene oculto a los sistemas de detección cada vez más eficientes.

Esta nueva tendencia se confirmó durante un análisis detallado de la plataforma de ciberespionaje EquationDrug. Los especialistas de Kaspersky Lab encontraron que, después del éxito creciente de la industria para exponer a grupos de amenazas persistentes avanzadas (APT), los actores de las amenazas más sofisticadas ahora se centran en aumentar el número de componentes en su plataforma maliciosa para llamar menos la atención y aumentar su sigilo.

Las últimas plataformas ahora están compuestas de muchos módulos complemento que les permite seleccionar y realizar una amplia gama de funciones, dependiendo de su objetivo y de la información que contienen. Kaspersky Lab estima que EquationDrug incluye 116 complementos diferentes.

Costin Raiu

Costin Raiu

“Los Estados-nación atacantes buscan mejor estabilidad, invisibilidad, fiabilidad y universalidad en sus herramientas de ciberespionaje. Están enfocados en crear infraestructuras que envuelvan tal código en algo que se pueda personalizar en sistemas vivos y que proporcionen una manera segura para almacenar todos los componentes y datos en forma cifrada, inaccesible para los usuarios regulares”, explica Costin Raiu, Director del Equipo de Análisis e Investigación Global de Kaspersky Lab. “La sofisticación de la infraestructura hace que este tipo de actor sea diferente de los ciberdelincuentes tradicionales, ya que prefiere enfocarse en la carga y en las capacidades del malware que están diseñadas para obtener ganancias financieras directas”.

Otras formas en que estos Estados-nación atacantes diferencian sus tácticas de los ciberdelincuentes tradicionales incluyen:

Escala. Los ciberdelincuentes tradicionales distribuyen en forma masiva correos electrónicos con archivos adjuntos maliciosos o infectan sitios web a gran escala, mientras que los actores Estados-nación prefieren ataques quirúrgicos altamente selectivos, que infecten sólo a un puñado de usuarios seleccionados.

Enfoque individual. Mientras que los ciberdelincuentes típicos utilizan de manera reiterada código fuente públicamente disponible como por ejemplo los Troyanos Zeus o Carberb, los actores Estados-nación construyen malware único y personalizado, e incluso implementan restricciones que evitan el descifrado y la ejecución fuera de la computadora objetivo.

Extracción de información valiosa. Los ciberdelincuentes en general intentan infectar a tantos usuarios como sea posible. Sin embargo, no tienen el tiempo o el espacio de almacenamiento para revisar manualmente todas las máquinas que infectan y saber quiénes son los propietarios, qué tipo de datos tienen almacenados y qué tipo de software están ejecutando – para luego transferir y almacenar todos los datos potencialmente interesantes.

– Como resultado codifican malware todo en uno que extraerá sólo los datos más valiosos como números de contraseñas y de tarjetas de crédito de las máquinas de las víctimas – actividad que rápidamente llamará la atención de cualquier software de seguridad instalado.

– Por otro lado, los Estados-nación atacantes tienen los recursos para almacenar todos los datos que sean necesarios. Para esquivar la atención y mantenerse invisibles para el software de seguridad, tratan de evitar la infección de usuarios al azar y en lugar de eso dependen de una herramienta genérica de administración remota del sistema que pueda copiar cualquier información que pudieran necesitar y en cualquier cantidad. Sin embargo, esto podría funcionar en su contra ya que la movilización de grandes cantidades de datos podría hacer muy lenta la conexión de la red y despertar sospechas.

“Puede parecer inusual que una plataforma de ciberespionaje tan poderosa como EquationDrug no proporcione la capacidad de robar la contraseña de Skype o ICQ como estándar en su núcleo de malware. La respuesta es que prefieren copiar una base de datos en total y hacer el análisis sintáctico en el lado servidor. Sólo si han escogido vigilarlo a usted activamente y los productos de seguridad en sus máquinas han sido desarmados, recibirá un complemento (plugin) para rastrear en vivo sus conversaciones. Creemos que esto llegará a ser una marca registrada extraordinaria de Estados-nación atacantes en el futuro”, concluye Costin Raiu.

EquationDrug es la principal plataforma de espionaje desarrollada por el Grupo Equation. Ha estado en uso por más que una década aunque ahora sea reemplazada en gran parte por la plataforma aún más sofisticada GrayFish. Las tendencias en tácticas confirmadas por el análisis de EquationDrug fueron observadas por primera vez por Kaspersky Lab durante su investigación de las campañas de ciberespionaje Careto y Regin, entre otras.

Más información acerca de la última investigación de la plataforma EquationDrug en Securelist.com.

Ilustración: Vasin Lee © Shutterstock.com (con fotografía de la NASA)


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022