CIBERSEGURIDAD

PLATINUM está de vuelta –

0 143 2 minutos de lectura

Los investigadores de Kaspersky han descubierto una campaña de ciberespionaje altamente sofisticada destinada a robar información de entidades diplomáticas, gubernamentales y militares del sur de Asia. La campaña duró casi seis años y tuvo vínculos con otros ataques recientes detectados en la región. Una mayor investigación sobre las herramientas y métodos utilizados en la campaña llevó a los investigadores a la conclusión de que el atacante detrás de ella es el grupo PLATINUM, un actor de ciberespionaje que pensaban que se había ido. Para que la actividad permanezca invisible durante tanto tiempo, el grupo codificó su información utilizando una técnica llamada esteganografía, que oculta el hecho de que hay alguna información allí.



Los investigadores de seguridad han estado advirtiendo sobre los peligros de la esteganografía desde hace un tiempo. La esteganografía es la práctica de transferir datos en un formato oculto donde se disfraza el hecho mismo de que se envían datos. De esta forma se diferencia de la criptografía, que solo oculta los datos. Mediante el uso de la esteganografía, los actores del ciberespionaje pueden permanecer en un sistema infectado durante mucho tiempo sin despertar sospechas. Este fue el método utilizado por el grupo PLATINUM, un colectivo de ciberamenazas que actúa contra gobiernos y organizaciones relacionadas en el sur y sudeste asiático, cuya última actividad conocida se había informado en 2017.

En el caso de la operación PLATINUM recién descubierta, los comandos de malware se integraron en el código HTML de un sitio web. Las teclas ‘tabulador’ y ‘barra espaciadora’ en un teclado no cambian cómo se refleja el código HTML en una página web, por lo que los actores de amenazas codificaron los comandos en una secuencia específica de estas dos teclas. Como resultado, los comandos eran casi imposibles de detectar en el tráfico de la red, ya que el malware parecía simplemente acceder a un sitio web sospechoso que no se notaba en el tráfico general.

Para detectar el malware, los investigadores tuvieron que verificar los programas que eran capaces de cargar archivos en el dispositivo. Entre ellos, los expertos notaron uno que actuó de manera extraña: por ejemplo, accedió al servicio de nube pública Dropbox para su administración y estaba programado para funcionar solo en ciertos momentos. Los investigadores luego se dieron cuenta de que esto se hizo para ocultar la actividad del malware entre los procesos que operan durante el horario laboral normal, cuando su comportamiento no despertaría sospechas. De hecho, el descargador estaba exfiltrando y cargando datos y archivos desde y hacia el dispositivo infectado.

“A lo largo de su conocida existencia, las campañas de PLATINUM han sido elaboradas y minuciosamente diseñadas. El malware utilizado en este ataque no es una excepción: aparte de la esteganografía, tenía otras características que le permitían volar y operar bajo el radar durante mucho tiempo. Por ejemplo, podría transferir comandos no solo desde el centro de comando, sino también de una máquina infectada a otra. De esta manera, podían llegar a dispositivos que formaban parte de la misma infraestructura que los dispositivos atacados, pero que no estaban conectados a Internet. En general, ver a los actores de amenazas como PLATINUM implementando la esteganografía es una señal de que las amenazas persistentes avanzadas están aumentando la sofisticación de sus métodos significativamente para pasar desapercibidos, y los proveedores de seguridad deben tenerlo en cuenta al desarrollar sus almas de seguridad «, dijo Alexey. Shulmin, investigadora de seguridad de Kaspersky.

Para reducir el riesgo de ser víctima de sofisticadas operaciones de ciberespionaje, Kaspersky recomienda tomar las siguientes medidas:

Implementar capacitación en conciencia de seguridad para el personal que explique cómo reconocer y evitar aplicaciones o archivos potencialmente maliciosos. Por ejemplo, los empleados no deben descargar y ejecutar aplicaciones o programas de fuentes desconocidas o que no sean de confianza.
Para la detección a nivel de endpoints, la investigación y la corrección oportuna de incidentes, implemente soluciones EDR como Kaspersky Endpoint Detection and Response.

· Además de adoptar una protección esencial para endpoints, implemente una solución de seguridad de nivel corporativo que detecte amenazas avanzadas en el nivel de la red en una etapa temprana, como Kaspersky Anti Targeted Attack Platform.

· Proporcione a su equipo de SOC acceso a la inteligencia de amenazas más reciente, para mantenerse al día con las herramientas, técnicas y tácticas nuevas y emergentes utilizadas por los actores de amenazas.

Lea el informe completo en Securelist.com

Publicaciones relacionadas

Wesleyan Assurance Society implementa OutScan, HIAB y PCI para una solución total de gestión de vulnerabilidades

El sitio web de la BBC se desconecta después de la tormenta de Clarkson

Encuesta global revela un cambio inminente en las prioridades de seguridad cibernética.

Forescout fortalece la inversión en seguridad OT.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar