Ampliar el sitio arqueológico de los archivos nacionales
El grupo de piratería avanzada que saboteó el invierno Pyeongchang Los Juegos Olímpicos en febrero han vuelto a atacar, esta vez en ataques que instituciones financieras específicas en Rusia y productos químicos y laboratorios de prevención de amenazas biológicas en Francia, Suiza, el Países Bajos y Ucrania, dijeron los investigadores.
Otras lecturas
Apertura de los Juegos Olímpicos de Invierno de Pyeongchang interrumpida por un ataque de malware nuevas campañas comenzaron el mes pasado con correos electrónicos de phishing que fueron diseñado para infectar a las empresas objetivo con malware que se recopiló información detallada sobre sus computadoras y redes. Uno de los documentos de Word maliciosos referidos a Spiez Convergence, un conferencia sobre amenazas bioquímicas organizada por el Spiez Laboratorio, que desempeñó un papel clave en la investigación de la envenenamiento en marzo de un ex espía ruso en el Reino Unido. Gobierno del Reino Unido Las autoridades han dicho que Rusia estaba detrás del envenenamiento. Un segundo documentar autoridades sanitarias y de control veterinario específicas en Ucrania.
Investigadores de Kaspersky Lab con sede en Moscú dijeron que los documentos en los correos electrónicos de phishing se parecen mucho a los utilizados para infectar organizadores, proveedores y socios de los Juegos Olímpicos de Invierno en los meses anteriores al ataque de febrero de Pyeongchang. Estos iniciales las infecciones permitieron a los atacantes pasar meses desarrollando conocimiento detallado de las redes que soportan los juegos. Uno de los razones clave por las que el malware denominado Olympic Destroyer fue tan exitoso al interrumpir los Juegos Olímpicos fue que utilizó este conocimiento para sabotear las redes. El descubrimiento de una nueva campaña de phishing por el mismo grupo plantea la posibilidad de que estén destinados a admite nuevos hacks de sabotaje.
“Es posible que en este caso hayamos observado un etapa de reconocimiento que será seguida por una ola de destructiva ataques con nuevos motivos “, escribieron los investigadores de Kaspersky Lab en un entrada en el blog. “Por eso es importante para todas las amenazas bioquímicas empresas y organizaciones de prevención e investigación en Europa para fortalecer su seguridad y ejecutar auditorías de seguridad no programadas “.
Una de las similitudes entre las recientes campañas de phishing y los que conducen al Destructor Olímpico es una técnica para ofuscar comandos maliciosos de Powershell. Utiliza una matriz reorganizando para mutar el código original, y protege a todos comandos y cadenas, incluidos los que involucran el comando y Dirección del servidor de control. Los documentos en ambos spear phishing campañas también utilizaron un comando basado en Powershell para implementar un rutina que involucra el cifrado de cifrado RC4. El descifrado se basa en un clave de alfabeto hexadecimal ASCII de 32 bytes codificada.
No digo que fuera Rusia, pero …
Como es típico en los informes de Kaspersky Lab, este no Identificar directamente el grupo o país detrás de los ataques. Lo hace, sin embargo, digamos que las tácticas, técnicas, procedimientos y La seguridad operacional utilizada en el ataque del destructor olímpico “tiene un cierto parecido con Sofacy “, el nombre de la avanzada persistente grupo que trabaja para el gobierno ruso.
Eso sería consistente con un artículo de febrero en The Washington Post que informó cómo los funcionarios de inteligencia de EE. UU. determinado, con cierta confianza, que el ataque se llevó a cabo por personas que trabajan en nombre de una agencia de inteligencia rusa. Antes del informe, algunos investigadores habían dicho huellas digitales dentro el malware Olympic Destroyer sugirió que era obra de North Hackers coreanos.
Otras lecturas
Rusia acusada de ataque de “falsa bandera” en la apertura olímpica de la participación rusa fue reforzada por la investigación publicada el mismo día como el artículo del Washington Post por el equipo de seguridad Talos de Cisco. Mostró que el Destructor Olímpico incluía código de señuelo que era diseñado para implicar falsamente a Corea del Norte, cuando, de hecho, una serie de errores operativos mostraron que un grupo rival de piratería era responsable. Tales señuelos en las operaciones de pirateo se refieren a menudo como falsas banderas.
Agregando a la vinculación de actores rusos, la última versión de Kaspersky Lab informe dijo que los correos electrónicos de phishing utilizados en Ucrania contenían documentos escritos en ruso perfecto, un hallazgo que sugiere que probablemente fueron preparados con la ayuda de un hablante nativo de ruso y no software de traducción automática.
Todavía no está claro cómo las recientes campañas de spear phishing contra un número tan heterogéneo de objetivos encajan juntos. Kaspersky Lablos investigadores escribieron:
La variedad de objetivos financieros y no financieros podría indican que el mismo malware fue utilizado por varios grupos con diferentes intereses, es decir, un grupo principalmente interesado en finanzas ganar a través del robo cibernético y otro grupo o grupos que buscan objetivos de espionaje. Esto también podría ser el resultado de un ciberataque tercerización, que no es infrecuente entre los actores de los estados nacionales. En Por otro lado, los objetivos financieros podrían ser otra bandera falsa operación de un actor que ya se ha destacado en esto durante el Juegos Olímpicos de Pyeongchang para redirigir la atención de los investigadores.
Se pueden hacer ciertas conclusiones basadas en motivos y selección de objetivos en esta campaña. Sin embargo, es fácil de hacer. un error al intentar responder a la pregunta de quién está detrás de esto campaña con solo los fragmentos de la imagen que son visibles para investigadores La aparición, a principios de este año, de los Juegos Olímpicos. Destructor con sus sofisticados esfuerzos de engaño, cambió el juego de atribución para siempre. Creemos que ya no es posible. sacar conclusiones basadas en pocos vectores de atribución descubiertos durante la investigación regular La resistencia y disuasión de amenazas como el destructor olímpico deben basarse en la cooperación entre el sector privado y los gobiernos a través de las fronteras nacionales. Desafortunadamente, la situación geopolítica actual en el mundo solamente aumenta la segmentación global de internet e introduce muchos obstáculos para investigadores e investigadores. Esto alentará Los atacantes APT continuarán marchando hacia las redes protegidas de gobiernos extranjeros y empresas comerciales.
Lo que parece claro es que un grupo con un historial de campañas exitosas de sabotaje están dirigidas a un nuevo grupo de empresas en una variedad de países Kaspersky Lab proporciona una lista de Indicadores detallados de compromiso que las personas pueden usar para determinar si estaban entre los objetivos.