Seguridad

Symantec expone el grupo de piratería de mariposas utilizado para el espionaje corporativo

0 0 4 minutos de lectura
Symantec expone el grupo de piratería de mariposas utilizado para el espionaje corporativo

Symantec sigue el rastro digital de las mariposas, un grupo de piratas informáticos que han robado con éxito secretos corporativos de 49 organizaciones en más de 20 países.

butterflyistock000052983996davincidig

Symantec lleva su misión de «ayudar a los consumidores y las organizaciones a proteger y administrar su mundo basado en la información» al siguiente nivel al agregar servicios antiespionaje a su lista de servicios. Como prueba, presento el libro blanco de Symantec Butterfly: Corporate Espionage for Financial Gains (PDF) publicado recientemente. Aquí hay un extracto:

«Butterfly es un grupo de atacantes profesionales altamente capaces que se dedican al espionaje corporativo y se centran en la seguridad operativa. El equipo es una gran amenaza para las organizaciones con una gran cantidad de propiedad intelectual patentada, todo lo cual se ha visto comprometido por el riesgo de organizar el robo para obtener ganancias monetarias”.

notas: Symantec cambió el nombre del grupo Butterfly para evitar cualquier vínculo con otra entidad corporativa legítima llamada Morpho.

El siguiente gráfico, de un artículo de Symantec, muestra la cantidad de organizaciones afectadas por mariposas en cada industria durante los últimos cuatro años.

symantecbutterfly

primer gran ataque

En 2013, Apple, Facebook, Microsoft y Twitter se vieron comprometidos. Los investigadores de Symantec tomaron nota en particular después de descubrir que los cuatro ataques utilizan el mismo modus operandi: se dirigen a los desarrolladores de aplicaciones móviles a través de OSX.Pintsized (puerta trasera de Mac OS X) y/o Backdoor.Jiripbot (puerta trasera de Windows) utilizado en el sitio web de la empresa).

LEER  Es posible que te hayas perdido las noticias tecnológicas del 28 de octubre a noviembre. 3
Publicaciones relacionadas

Otras razones por las que el equipo de Butterfly es de interés para Symantec incluyen:

  • Aunque Butterfly existe desde 2012, no hay mucho disponible públicamente sobre el grupo.
  • El ataque al objetivo deseado es rápido y bien ejecutado.
  • Los atacantes mariposa a veces limpian o abandonan los robos exitosos como si ese ataque en particular fuera un error.
  • Hubo una interrupción abrupta de la actividad a fines de 2013 y luego, de manera similar, abrupta, a fines de 2014, los ataques comenzaron nuevamente.

Hablando del éxito de la organización, un empleado de Symantec escribió en una publicación de blog el 8 de julio de 2015: «Hasta la fecha, Symantec ha identificado 49 organizaciones diferentes en más de 20 países afectados por el ataque de Butterfly. Con el tiempo, surge la imagen de una banda de delincuentes cibernéticos sistemáticamente apuntando a grandes corporaciones para robar datos confidenciales”.

tácticas ofensivas

Los atacantes de Butterfly tienen un conjunto impresionante de herramientas de malware personalizadas, aunque las herramientas de respaldo más antiguas (OSX.Pintsized y Backdoor.Jiripbot) a menudo se usan para obtener acceso. Para lograr este éxito, los codificadores del grupo adaptaron dos piezas de código malicioso a las necesidades de cada ataque.

Una vez que se obtiene el acceso, los atacantes pueden encontrar y comprometer los servidores de correo electrónico. «Una vez que los atacantes obtienen este acceso, podrían espiar las conversaciones de correo electrónico y posiblemente también insertar correos electrónicos fraudulentos», especulan los investigadores de Symantec.

Los servidores de administración de contenido son otro objetivo popular de mariposas. «Estos sistemas se utilizan para indexar y almacenar varios documentos de una empresa y otros activos digitales», mencionaron los investigadores. «Dichos servidores no contendrán el código fuente, sino documentos legales, políticas internas, documentos de capacitación, descripciones de productos y registros financieros».

Cuando se encuentra algún dato de interés, el malware instalado lo envía a los servidores de Butterfly Group para su revisión y luego lo vende. Kevin Haley, director de respuesta de seguridad de Symantec, le dijo a Yahoo News: «Esta es una organización con disciplina y organización de estado-nación, pero la señalan como un verdadero criminal».

¿Quién es un hacker?

En 2013, el New York Times y otros medios acusaron a los piratas informáticos chinos; los investigadores de Symantec no estaban seguros y ofrecieron tres teorías posibles. Los grupos de hackers mariposa pueden ser:

  • Agencias gubernamentales dedicadas al espionaje económico;
  • Contratar un grupo de hackers; o
  • Una organización con un solo cliente.

“Dada la cantidad de víctimas a través de varias fronteras geopolíticas y la falta de selección de víctimas asociadas con la recopilación de inteligencia tradicional, las agencias gubernamentales son las menos probables de estas teorías”, escribieron los autores del informe.

Los autores argumentan que «es más probable que el atacante mariposa sea un grupo de personas que colaboran estrechamente y que roban propiedad intelectual para otro cliente o para su beneficio financiero, como a través del mercado de valores».

Impresionantes capacidades de contrainteligencia

Los investigadores de Symantec quedaron impresionados con las capacidades de contrainteligencia de Butterfly. «Los atacantes de Butterfly utilizaron una variedad de técnicas antiforenses para frustrar la detección y potencialmente dificultar la investigación de sus actividades cuando se descubren”, dijeron los investigadores. “El malware del grupo y otros archivos se pueden eliminar de forma segura utilizando la herramienta GNU Shred, que La herramienta sobrescribe el contenido del archivo y elimina el índice de la tabla de asignación de archivos, o utiliza la función de destrucción escrita en una herramienta personalizada».

Otros pasos tomados por los atacantes de Butterfly incluyen:

  • Modifique los registros de eventos para eliminar cualquier evidencia de actividad del atacante;
  • Usar nombres y direcciones de correo electrónico falsos al registrar dominios para servidores de comando y control (C&C) (además, los nombres y direcciones de correo electrónico no deben reutilizarse); y
  • Use Bitcoin para pagar a los proveedores de alojamiento para que alojen sus servidores C&C.

Información Adicional

El apéndice del informe de Symantec incluye un repositorio de mariposas, claves, firmas de malware, hash y detalles del servidor C&C para quienes deseen configurar un sistema IDS/IPS.

  • La guerra encubierta contra sus secretos de Internet: cómo la vigilancia en línea socava nuestra confianza en la Web
  • En la carrera armamentista digital secreta: Enfrentando la amenaza de la guerra cibernética global
  • Seguridad y privacidad: nuevos desafíos (función ZDNet/Tecnopedia)

    • LEER  Reducción de la superficie de ataque de IoT: 6 mejores prácticas
    0 0 4 minutos de lectura

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Botón volver arriba