The Mask: la campaña APT más sofisticada del mundo

PUNTA CANA – Un grupo de hackers, probablemente con la ayuda de un gobierno nacional, atacó a varias agencias gubernamentales, embajadas, oficinas diplomáticas y empresas energéticas. Según los investigadores de Kaspersky Lab, desde hace más de cinco años sigue en pie la campaña APT más sofisticada nunca vista.

The Mask

PUNTA CANA –  Un grupo de hackers, probablemente con la ayuda de un gobierno nacional, atacó a varias agencias gubernamentales, embajadas, oficinas diplomáticas y empresas energéticas. Según los investigadores de Kaspersky Lab, desde hace más de cinco años sigue en pie la campaña APT más sofisticada nunca vista.

Esta amenaza, de la cual se habló ayer durante la conferencia corporativa Security Analyst Summit en la República Dominicana, se llama “Careto”. Por eso,  los expertos de Kaspersky Lab la han apodado “The Mask”.

Esta amenaza demuestra cómo los cibercriminales, cada vez más expertos, han aprendido muchos trucos, han pulido sus técnicas y saben cómo infectar y espiar objetivos específicos para robarles información. Lo que preocupa es que esta amenaza interceptaba datos a escondidas desde el año 2007. Según Costin Raiu, director del equipo Global Research and Analysis Team (GReAT) de Kaspersky Lab, si los cibercriminales no hubieran intentado explotar una vulnerabilidad ya resuelta en una versión antigua de un producto KL, los investigadores nunca se habrían dado cuenta.

“No es un plan inteligente intentar explotar un producto de Kaspersky Lab”, Raiu afirmó durante la presentación.

Los hackers desarrollan estas campañas APT para infectar los equipos de ciertos usuarios que tienen acceso a recursos y redes determinadas, en la mayoría de los casos para acceder a datos de agencias gubernamentales o de empresas energéticas. Por este motivo, el objetivo de los cibercriminales que diseñan estas APTs no son los usuarios normales y corrientes. No obstante, debemos estar un poco tranquilos porque los responsables de esta campaña cesaron en sus ataques solo unas horas después de que el equipo GReAT de Kaspersky Lab publicase una descripción de esta APT.

“No es un plan inteligente intentar explotar un producto de Kaspersky Lab”, Raiu afirmó durante la presentación.

Los investigadores Kaspersky Lab detectaron, mediante un  proceso llamado “sinkholing” 90 dominios C&C  utilizados por los cibercriminales;  Raiu aseguró que, después de la publicación de la información sobre esta APT, los creadores de The Mask cerraron todo en 4 horas. En concreto, mediante el proceso de “sinkholing” los investigadores consiguieron tomar el control del botnet y redireccionar el tráfico fuera de los servidores que controlaban la campaña APT.

De todas formas, según Raiu, los cibercriminales podrían volver al ataque si lo quisieran.

Se trata de una campaña muy peligrosa e interesante desde diferentes puntos de vista. Por ejemplo, parece no tener ninguna conexión con China, país de donde se supone provienen otros ataques parecidos. Además, las personas que dirigieron esta campaña son hispanohablantes  y esto representa una novedad (aunque no debería sorprender ya que el español es el segundo idioma más hablado en el mundo, después del chino mandarín, con 400 millones de personas). Además,  la mayoría de los objetivos de Careto habla español, aunque se encuentren en más de 30 países del mundo.

Se supone que, entre sus armas, se esconde un malware para ataques de día cero y versiones de The Mask capaces de infectar equipos Mac OS, Linux y tal vez dispositivos móviles que soportan iOS y Android. Raiu afirmó que, al menos, una víctima en Marruecos poseía un dispositivo capaz de comunicarse con la infraestructura C&C a través de la red 3G y que se presentaba como dispositivo iOS.

“Los que están detrás de esta campaña son mucho más hábiles que el grupo responsable de Flame porque saben gestionar mejor sus infraestructuras”, afirmó Raiu. “La velocidad de acción y la profesionalidad alcanzan un nivel nunca visto”.

La APT Flame fue  una campaña descubierta por los investigadores de Kaspersky Lab en 2012. Atacó a países de Oriente Medio y se trataba de una amenaza muy sofisticada porque generaba certificados digitales falsos que parecían provenir directamente de Microsoft.

Como ocurrió en otros casos similares, los cibercriminales de Careto atacaron a sus víctimas a través de mails de spear-phishing, que llevaban a páginas web maliciosas donde se encontraban los exploits. La única manera para acceder a estas páginas era a través de los enlaces enviados a las víctimas.

Segun Raiu, los cibercriminales tenían muchas herramientas a su disposición, incluso algunos aparatos que les dejaban entrar en los equipos de las víctimas para interceptar todos los protocolos TCP y UDP en tiempo real (dos diferentes protocolos para las comunicaciones en Internet), pasando desapercibidos. Según Raiu, todas las comunicaciones entre las víctimas y los servidores C&C  estaban encriptadas.

Consejos