Investigadores de Check Point descubren una campaña de ciberespionaje con posibles vínculos con grupos políticos de El Líbano
Check Point Software Technologies ha dado a conocer un completo informe que detalla el descubrimiento de un grupo de ataques persistentes originados probablemente en El Líbano, y que muestra posibles vínculos políticos.
Investigadores del Grupo de Malware y Vulnerabilidades de Check Point han descubierto esta campaña de ataques, denominada Volatile Cedar, que utiliza un malware local con nombre en código “Explosive”. En funcionamiento desde principios de 2012, la campaña habría penetrado con éxito en un gran número de objetivos en todo el mundo, monitorizando durante todo este tiempo las acciones de sus víctimas y robando numerosos datos.
Hasta la fecha, entre las organizaciones que se han confirmado como atacadas se incluyen contratistas de defensa, empresas de telecomunicaciones, medios de comunicación e instituciones educativas. La naturaleza de los ataques y las repercusiones asociadas sugieren que los motivos de los atacantes no son financieros, sino que habrían tenido como objetivo extraer información sensible de las víctimas.
Hallazgos clave:
• Volatile Cedar es una campaña muy bien dirigida y administrada. Sus objetivos han sido cuidadosamente elegidos, limitando su actividad al mínimo necesario para lograr sus objetivos, reduciendo así también al mínimo el riesgo de exposición.
• La primera evidencia de “Explosive” fue detectada en noviembre de 2012. Desde entonces, y hasta la fecha, se han registrado diferentes versiones, ya que el malware cambia ante intentos de detección.
• El modus operandi de los atacantes se ha dirigido inicialmente a servidores web de cara al público, con ataques tanto automáticos como manuales.
• Una vez obtenido el control sobre un servidor, éste es utilizado como “punto de pivotaje” para explorar, identificar y atacar objetivos adicionales ubicados en puntos más profundos de la red. Se ha detectado hackeo manual online, así como mecanismos automatizados de infección vía USB.
“Volatile Cedar es una campaña de malware que ha estado activa continuamente y con éxito durante años, evadiendo su detección mediante una operación bien planificada y cuidadosamente gestionada que monitoriza constantemente las acciones de sus víctimas y responde rápidamente ante incidentes de detección como la activación de un antivirus", explica Dan Wiley, director del área de Respuesta ante Incidentes e Inteligencia de Amenazas de Check Point. "Esta es sólo una de las caras del futuro de los ataques dirigidos: malware que mira en silencio una red, robando datos, y puede cambiar rápidamente si es detectado por un antivirus”.
Los clientes de Check Point están protegidos de Volatile Cedar a través de diversas firmas ubicadas en diferentes security blades (módulos de seguridad por capas), y también se han actualizado algunos sistemas habilitados con ThreatCloud para identificar todas las variantes de “Explosive” conocidas hasta la fecha. Las organizaciones en general, por su parte, pueden protegerse contra estos ataques a través de infraestructuras de seguridad inteligentes con la adecuada segmentación firewall, IPS, Anti-bot, aplicación de parches, y Control de Aplicaciones.