Los investigadores de Kaspersky Lab han descubierto una ola de ataques de ciberespionaje dirigidos contra organizaciones diplomáticas de Asia Central. El troyano, llamado “Octopus”, disfrazado como una versión de un servicio de mensajería en línea popular y legítimo, atraía a los usuarios tras la noticia de una posible prohibición de Telegram en la región. Una vez instalado, Octopus proporcionaba a los atacantes acceso remoto a las computadoras de las víctimas (Fuente Kaspersky Latam).

Los agentes de amenaza buscan constantemente tendencias que se puedan aprovechar y ajustar a sus métodos para poner en peligro la privacidad y la información confidencial de los usuarios en todo el mundo. En este caso, la posible prohibición de la aplicación Telegram, que es ampliamente utilizada, permitió a los cibercriminales planear estos ataques usando el troyano Octopus, que proporcionaba a los hackers acceso remoto a la computadora de la víctima.

Los ciberespías distribuyeron el Octopus dentro de un archivo disfrazado como una versión alternativa de Telegram Messenger para los partidos de oposición kazajos. El iniciador estaba disfrazado con un símbolo reconocible de uno de los partidos políticos de oposición de la región, y el troyano estaba oculto en su interior. Una vez activado, daba, a los agentes que se valían del malware, oportunidad para llevar a cabo diversas operaciones con datos en la computadora infectada, incluyendo, borrar, bloquear, modificar, copiar y descargar, entre otras. De esta manera, los atacantes podían espiar a las víctimas, robar datos confidenciales y obtener acceso a los sistemas por una puerta trasera. El método tiene algunas similitudes con una infame operación de ciberespionaje llamada Zoo Park, en la que el malware utilizado para la APT imitaba una aplicación de Telegram para espiar a las víctimas.

Usando los algoritmos de Kaspersky Lab que reconocen similitudes en el código de software, los investigadores de seguridad descubrieron que Octopus podría tener enlaces a DustSquad, un agente de ciberespionaje de habla rusa detectado previamente en países de la antigua URSS en Asia Central, así como en Afganistán, desde 2014. Durante los últimos dos años, los investigadores han detectado cuatro de sus campañas con malware adaptado para Android y Windows dirigido tanto a usuarios privados como a entidades diplomáticas.

“Hemos visto muchos agentes de amenazas dirigidos a entidades diplomáticas en Asia Central en 2018. DustSquad ha estado trabajando en la región durante varios años y podría ser el grupo que se encuentra detrás de esta nueva amenaza. Aparentemente, el interés en los asuntos cibernéticos de esta región está creciendo constantemente. Recomendamos a los usuarios y organizaciones de la región que vigilen sus sistemas e instruyan a los empleados para que hagan lo mismo”, comentó Denis Legezo, investigador de seguridad en Kaspersky Lab. 

Para reducir el riesgo de ataques cibernéticos avanzados, Kaspersky Lab recomienda implementar las siguientes medidas:

  • Educar al personal sobre la higiene digital y explicar cómo reconocer y evitar aplicaciones o archivos potencialmente maliciosos. Por ejemplo, los empleados no deben descargar e iniciar aplicaciones o programas de fuentes desconocidas o que no sean de confianza.
  • Utilizar una solución de seguridad robusta en los endpoints con la funcionalidad de control de aplicaciones que limita la capacidad de estas para iniciar recursos críticos del sistema o acceder a ellos.
  • Implementar un conjunto de soluciones y tecnologías, como Kaspersky Anti Targeted Attack Platform y Kaspersky EDR, contra ataques dirigidos. Estas pueden ayudar a detectar la actividad maliciosa en la red e investigar y responder de manera eficaz a los ataques bloqueando su desarrollo.
  • Asegurarse de que su equipo de seguridad tenga acceso a inteligencia de amenazas profesional.
Anuncios