Clicky

Nuevo grupo de espionaje cibernético 'SowBug' roba secretos diplomáticos desde 2015

Categoría: Seguridad
Visitas: 1932
SowBug

Usa una pieza de malware llamada "Felismus"

Un grupo de piratería y espionaje informático previamente desconocido que ha estado en operación desde al menos 2015 ha llevado a cabo una serie de ataques altamente dirigidos contra una serie de organizaciones gubernamentales en América del Sur y el sudeste asiático para robar sus datos confidenciales.

Con nombre en código Sowbug, el grupo hacker ha sido expuesto por los investigadores de seguridad de Symantec, quienes descubrieron que el grupo realizaba ataques clandestinos contra instituciones de política exterior, organismos gubernamentales y objetivos diplomáticos en países como Argentina, Brasil, Ecuador, Perú y Malasia.

El análisis de Symantec descubrió que el grupo de piratería Sowbug usa una pieza de malware llamada "Felismus" para lanzar sus ataques e infiltrarse en sus objetivos.

Identificado por primera vez a finales de marzo de este año, Felismus es una pieza sofisticada y bien escrita de acceso remoto Trojan (RAT) con una construcción modular que permite que el troyano de la puerta trasera oculte o amplíe sus capacidades.

El malware permite a los actores malintencionados tomar el control completo de un sistema infectado y, como la mayoría de las RAT, Felismus también permite a los atacantes comunicarse con un servidor remoto, descargar archivos y ejecutar comandos de shell.

Mediante el análisis de Felismus, los investigadores pudieron conectar campañas de ataque previas con el grupo de piratería Sowbug, lo que indica que había estado activo desde al menos principios de 2015 y puede haber estado operando incluso antes.

"Hasta la fecha, Sowbug parece enfocarse principalmente en entidades gubernamentales en América del Sur y el Sudeste Asiático y se ha infiltrado en organizaciones en Argentina, Brasil, Ecuador, Perú, Brunei y Malasia", dijo el informe de Symantec.

"El grupo tiene muchos recursos, capaz de infiltrarse en múltiples objetivos simultáneamente y, a menudo, operará fuera del horario de trabajo de las organizaciones objetivo".

Aunque todavía no está claro cómo lograron afianzarse los piratas informáticos Sowbug en las redes de computadoras, la evidencia reunida por los investigadores sugirió que los piratas informáticos han utilizado actualizaciones de software falsas y maliciosas de Windows o Adobe Reader.

Los investigadores también descubrieron que el grupo utilizó una herramienta conocida como Starloader para desplegar malware y herramientas adicionales, como volcadoras de credenciales y registradores de pulsaciones, en las redes de las víctimas.

Los investigadores de Symantec han encontrado pruebas de que los archivos de Starloader se están extendiendo como actualizaciones de software tituladas AdobeUpdate.exe, AcrobatUpdate.exe e INTELUPDATE.EXE, entre otras.

En lugar de comprometer el software en sí, Sowbug otorga a sus herramientas de piratería nombres de archivos "similares a los utilizados por el software y los coloca en árboles de directorios que podrían confundirse con los utilizados por el software legítimo".

Este truco permite a los piratas informáticos esconderse a plena vista, "ya que es poco probable que su apariencia despierte sospechas".

Los hackers de Sowbug tomaron varias medidas para permanecer ocultos mientras llevaban a cabo sus operaciones de espionaje fuera del horario de oficina estándar para mantener la presencia en redes segmentadas durante meses.

En un caso el grupo de piratas informáticos permaneció sin detectarse en la red del objetivo durante un máximo de seis meses entre septiembre de 2016 y marzo de 2017.

Además del método de distribución de malware Felismus utilizado en la operación Sowbug, la identidad de los atacantes Sowbug también permanece desconocida.