Vuelve el PLATINO –

Los investigadores de Kaspersky han descubierto una campaña de ciberespionaje muy sofisticada destinada a robar información de entidades diplomáticas, gubernamentales y militares del sur de Asia. La campaña duró casi seis años y tenía vínculos con otros ataques recientes detectados en la región. Una investigación más profunda de las herramientas y métodos utilizados en la campaña llevó a los investigadores a la conclusión de que el atacante que está detrás es el grupo PLATINUM, un actor de ciberespionaje que se creía desaparecido. Para que la actividad se mantuviera oculta durante tanto tiempo, el grupo codificó su información utilizando una técnica llamada esteganografía, que oculta el hecho de que hay alguna información.

Los investigadores de seguridad llevan tiempo advirtiendo de los peligros de la esteganografía. La esteganografía es la práctica de transferir datos en un formato oculto en el que se disimula el hecho mismo de que se están enviando datos. En esto se diferencia de la criptografía, que sólo oculta los datos. Mediante el uso de la esteganografía, los actores del ciberespionaje pueden permanecer en un sistema infectado durante mucho tiempo sin despertar ninguna sospecha. Este fue el método utilizado por el grupo PLATINUM, un colectivo de ciberamenazas que actúa contra gobiernos y organizaciones afines en el sur y el sudeste de Asia, cuya última actividad conocida se había reportado ya en 2017.

En el caso de la operación de PLATINUM recientemente descubierta, los comandos del malware estaban incrustados en el código HTML de un sitio web. Las teclas «tabulador» y «barra espaciadora» de un teclado no cambian la forma en que el código HTML se refleja en una página web, por lo que los actores de la amenaza codificaron los comandos en una secuencia específica de estas dos teclas. Como resultado, los comandos eran casi imposibles de detectar en el tráfico de la red, ya que el malware simplemente parecía acceder a un sitio web insospechado que no se notaba en el tráfico general.

Para detectar el malware, los investigadores tuvieron que comprobar los programas capaces de cargar archivos en el dispositivo. Entre ellos, los expertos observaron uno que actuaba de forma extraña: por ejemplo, accedía al servicio público en la nube Dropbox para su administración y estaba programado para funcionar sólo en determinados momentos. Los investigadores se dieron cuenta más tarde de que esto se hacía para ocultar la actividad del malware entre los procesos que funcionaban durante las horas normales de trabajo, cuando su comportamiento no despertaría sospechas. De hecho, el descargador estaba exfiltrando y subiendo datos y archivos hacia y desde el dispositivo infectado.

«A lo largo de su existencia conocida, las campañas de PLATINUM han sido elaboradas y minuciosamente preparadas. El malware utilizado en este ataque no es una excepción: además de la esteganografía, tenía otras características que le permitían volar y operar bajo el radar durante mucho tiempo. Por ejemplo, podía transferir comandos no sólo desde el centro de mando, sino también de una máquina infectada a otra. De este modo, podían llegar a dispositivos que formaban parte de la misma infraestructura que los dispositivos atacados, pero que no estaban conectados a Internet. En definitiva, ver a actores de amenazas como PLATINUM implementando la esteganografía es una señal de que las amenazas persistentes avanzadas están aumentando la sofisticación de sus métodos de manera significativa para volar bajo el radar, y los proveedores de seguridad deberían tenerlo en cuenta al desarrollar sus almas de seguridad», – dijo Alexey Shulmin, investigador de seguridad de Kaspersky.

Para reducir el riesgo de ser víctima de sofisticadas operaciones de ciberespionaje, Kaspersky recomienda tomar las siguientes medidas:

Implantar una formación de concienciación de seguridad para el personal que explique cómo reconocer y evitar aplicaciones o archivos potencialmente maliciosos. Por ejemplo, los empleados no deben descargar e iniciar ninguna aplicación o programa de fuentes no confiables o desconocidas.
Para la detección a nivel de punto final, la investigación y la reparación oportuna de los incidentes, implemente soluciones EDR como Kaspersky Endpoint Detection and Response.

– Además de adoptar una protección esencial para los puntos finales, implemente una solución de seguridad de nivel corporativo que detecte las amenazas avanzadas en el nivel de la red en una etapa temprana, como Kaspersky Anti Targeted Attack Platform.

– Proporcione a su equipo del SOC acceso a la última inteligencia sobre amenazas, para mantenerse al día con las nuevas y emergentes herramientas, técnicas y tácticas utilizadas por los actores de las amenazas.

Lea el informe completo en Securelist.com