{"id":15499,"date":"2018-03-09T13:27:18","date_gmt":"2018-03-09T11:27:18","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=15499"},"modified":"2019-11-22T11:06:49","modified_gmt":"2019-11-22T09:06:49","slug":"web-sas-2018-apt-announcement","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/web-sas-2018-apt-announcement\/15499\/","title":{"rendered":"La APT Slingshot, ciberespionaje a trav\u00e9s del router"},"content":{"rendered":"

Una de las revelaciones m\u00e1s importantes de nuestros investigadores en el Kaspersky Security Analyst Summit<\/a> (SAS) de este a\u00f1o ha sido el anuncio de una campa\u00f1a de ciberespionaje sofisticada llamada Slingshot.<\/p>\n

Vector de ataque<\/h2>\n

Pero primero, \u00bfcu\u00e1les son los medios de infecci\u00f3n? La particularidad de este vector de ataque inicial es que, seg\u00fan nuestra investigaci\u00f3n, muchas v\u00edctimas recibieron el ataque despu\u00e9s de haber instalado routers<\/i> comprometidos del proveedor Mikrotik. Los ciberdelincuentes encontraron la forma de comprometer los dispositivos y convertirlos en troyanos, aprovech\u00e1ndose de la utilidad de configuraci\u00f3n y oblig\u00e1ndolos a descargar y ejecutar varios archivos DLL directamente desde el router<\/i>, uno de ellos ser\u00eda una descarga de varios archivos maliciosos, almacenados tambi\u00e9n en este dispositivo.<\/p>\n

Cabe decir que informamos de la situaci\u00f3n al fabricante y Mikrotik ya casi lo ha solucionado. Sin embargo, nuestros expertos creen que Slingshot podr\u00eda estar usando otras marcas y, por tanto, puede que haya otros dispositivos comprometidos.<\/p>\n

Otra peculiaridad sobre Slingshot es la ejecuci\u00f3n de malware<\/i> en modo kernel. En sistemas operativos actualizados, esto era casi imposible, pero este malware<\/i> primero descargaba drivers vulnerables firmados<\/i> y solo entonces ejecutaba su propio c\u00f3digo.<\/p>\n

Instrumentos maliciosos<\/h2>\n

En el malware<\/i> Slingshot se encontraron dos obras maestras: una unidad en modo kernel llamada Cahnadr y otra en modo de usuario, GollumApp.<\/p>\n

Mediante la ejecuci\u00f3n del c\u00f3digo kernel, Cahnadr concede el control absoluto del ordenador infectado a los atacantes. Adem\u00e1s, a excepci\u00f3n de la mayor\u00eda de malware<\/i> que intenta funcionar en modo kernel, puede ejecutar c\u00f3digo sin hacer caer el sistema de archivos ni generar una pantalla azul. El segundo programa, GollumApp, es m\u00e1s sofisticado, contiene cerca de 1.500 funciones de c\u00f3digo de usuario.<\/p>\n

Gracias a estas unidades, Slingshot puede recopilar capturas de pantalla, datos de teclado y de red, contrase\u00f1as, actividad de escritorio, portapapeles y mucho m\u00e1s. Y todo esto sin aprovecharse de vulnerabilidades de d\u00eda cero. Al menos, nuestros expertos no han encontrado evidencias de que Slingshot las use de momento.<\/p>\n

Mecanismo para prevenir la detecci\u00f3n<\/h2>\n

Lo que hace tan peligroso a Slingshot es la gran cantidad de t\u00e1cticas que posee para evitar su detecci\u00f3n; de hecho, puede llegar a cerrar sus componentes si detecta alg\u00fan tipo de investigaci\u00f3n forense. Adem\u00e1s, Slingshot hace uso de su propio sistema de cifrado de archivos en una zona que el disco duro no utiliza. En Securelist encontrar\u00e1s m\u00e1s informaci\u00f3n t\u00e9cnica<\/a>.<\/p>\n

C\u00f3mo lidiar con una APT como Slingshot<\/h2>\n

Si usas un router<\/i> Mikrotik y el software<\/i> de gesti\u00f3n Winbox, descarga la \u00faltima versi\u00f3n del programa y aseg\u00farate de que el router<\/i> est\u00e9 actualizado seg\u00fan la \u00faltima versi\u00f3n de su sistema operativo. No obstante, las actualizaciones te protegen solo de un vector de ataque, pero no de la APT en s\u00ed.<\/p>\n

Para proteger tu negocio de los ataques dirigidos sofisticados, implementa un enfoque estrat\u00e9gico. Ponemos a tu disposici\u00f3n Threat Management and Defense Platform<\/a>, que cuenta con Kaspersky Anti Targeted Attack Platform, nuestra nueva soluci\u00f3n Kaspersky Endpoint Detection and Response, y servicios de expertos.<\/p>\n

Kaspersky Anti Targeted Attack<\/a> te permite encontrar anomal\u00edas en el tr\u00e1fico de la red, aislar procesos sospechosos y buscar correlaciones entre sucesos. Kaspersky Endpoint Detection and Response sirve para agregar y visualizar los datos recopilados. Y, gracias a nuestros expertos, puedes recibir ayuda en cualquier momento en caso de incidente, formar al personal de tu centro de control y concienciar a los empleados de tu compa\u00f1\u00eda. Si quieres m\u00e1s informaci\u00f3n sobre esta soluci\u00f3n, haz clic aqu\u00ed<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

Nuestros expertos analizan una de las campa\u00f1as de APT m\u00e1s sofisticadas que hemos visto<\/p>\n","protected":false},"author":700,"featured_media":15500,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2755],"tags":[2444,368,1413,674,2186,2572,2570],"class_list":{"0":"post-15499","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-thesas2018","10":"tag-apt","11":"tag-routers","12":"tag-sas","13":"tag-security-analyst-summit","14":"tag-slingshot","15":"tag-the-sas-2018"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/web-sas-2018-apt-announcement\/15499\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/web-sas-2018-apt-announcement\/10558\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/web-sas-2018-apt-announcement\/14870\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/web-sas-2018-apt-announcement\/13188\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/web-sas-2018-apt-announcement\/12615\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/web-sas-2018-apt-announcement\/21507\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/web-sas-2018-apt-announcement\/10092\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/web-sas-2018-apt-announcement\/16078\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/web-sas-2018-apt-announcement\/19784\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/web-sas-2018-apt-announcement\/19810\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/thesas2018\/","name":"#TheSAS2018"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/15499","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=15499"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/15499\/revisions"}],"predecessor-version":[{"id":20010,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/15499\/revisions\/20010"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/15500"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=15499"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=15499"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=15499"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}