Complejidad y modularidad VS funcionalidad, las nuevas tácticas del ciberespionaje
Los ataques de ciberespionaje patrocinados por Estados-Nación son cada vez más sofisticados y están dirigidos a usuarios cuidadosamente elegidos, con herramientas modulares complejas y capaces de mantener bajo el radar sistemas de detección cada vez más eficaces, según los expertos de Kaspersky Lab.
Esta nueva tendencia se confirmó durante un análisis detallado de la plataforma de ciberespionaje EquationDrug. Los analistas de Kaspersky Lab descubrieron que, tras el aumento de denuncias de la industria por la aparición de grupos de amenazas avanzadas persistentes (APT), los actores más sofisticados ahora se centran en el número de componentes maliciosos en su plataforma con el fin de reducir su visibilidad y ser más sigilosos.
Las últimas plataformas llevan muchos módulos plugin que les permiten seleccionar y llevar a cabo una amplia gama de funciones diferentes, dependiendo de la víctima y datos de que dispongan. Kaspersky Lab estima que EquationDrug incluye 116 plugins diferentes.
"Los atacantes Estado-Nación buscan crear herramientas de ciberespionaje más estables, invisibles, fiables y universales. Se centran en la creación de marcos para envolver dicho código en algo que se pueda personalizar y proporcionar una manera fiable de almacenar todos los componentes y los datos cifrados, inaccesibles para los usuarios", - explica Costin Raiu, director del GREAT de Kaspersky Lab. - "La sofisticación del marco hace que este tipo de actores, diferentes a los cibercriminales tradicionales prefieran centrarse en la capacidad de carga útil y de malware diseñado para obtener beneficios financieros directos".
Otras tácticas distintas de los ciberespías frente a los cibercriminales tradicionales son:
Escala: los cibercriminales tradicionales distribuyen mensajes de correo electrónico con archivos adjuntos maliciosos o infectan sitios web a gran escala, de forma masiva, mientras que los actores Estado-Nación son muy concretos, realizan ataques quirúrgicos, infectando sólo un puñado de usuarios seleccionados.
Enfoque individual: mientras que los cibercriminales tradicionales suelen reutilizar código fuente disponible de forma pública, como el de Zeus o Carberb, los ciberespías construyen uno único, usan malware personalizado, e incluso implementan restricciones que impiden el descifrado y ejecución fuera del equipo de destino.
Extracción de información valiosa: los cibercriminales intentan infectar el mayor número posible de usuarios. Sin embargo, les falta tiempo y espacio de almacenamiento para comprobar manualmente todas las máquinas que infectan y analizar quién es el dueño, qué datos se almacenan y qué software se ejecuta - y luego transferir y almacenar todos los datos potencialmente interesantes. Los atacantes Estado-Nación, por otro lado, tienen recursos para almacenar tantos datos como quieran. Para permanecer invisibles al software de seguridad tratan de evitar infectar a los usuarios al azar y en su lugar confían en una herramienta de gestión remota del sistema genérico que puede copiar cualquier información que puedan necesitar y en cualquier volumen.
EquationDrug es la plataforma principal de espionaje desarrollado por Equation Group. Ha estado en uso durante más de una década aunque ahora en gran parte está siendo sustituida por la plataforma GrayFish, aún más sofisticada.
