Asia y Oriente Próximo, semillero de nuevos ciberagentes de amenazas
Más del 30 por ciento de los informes del primer trimestre de 2018 se referían a operaciones en Asia.
En el primer trimestre de 2018, los analistas de Kaspersky Lab han detectado ciberacciones llevadas a cabo por grupos APT de habla rusa, china, inglesa y coreana entre otras. Y aunque algunos de los actores ya conocidos no tuvieron ninguna actividad digna de mención, sí se detectó un número creciente de operaciones APT y de nuevos actores en Asia. Este aumento se explica en parte por el ataque del malware Olympic Destroyer contra los Juegos Olímpicos de Pieonchang (Corea del Sur).
Entre los puntos destacados del informe del 1º trimestre de 2018 se incluyen:
• Aumento continuo de la actividad de grupos de habla china, incluido el grupo de actividad ShaggyPanther, dirigido contra entidades gubernamentales principalmente en Taiwan y Malasia, y CardinalLizard, que en 2018 ha aumentado su interés en Malasia junto al que ya tenía sobre Filipinas Rusia y Mongolia.
• Actividad APT registrada en el sur de Asia. El grupo Sidewinder descubierto recientemente ha atacado instituciones militares de Paquistán.
• IronHusky APT aparentemente ha dejado de apuntar contra elementos militares rusos y redirigido todos sus esfuerzos hacia Mongolia. A finales de enero de 2018, este actor de habla china lanzó una campaña de ataques contra los organismos gubernamentales de Mongolia justo antes de la reunión con el Fondo Monetario Internacional (FMI).
• La península de Corea sigue siendo un objetivo de primer nivel. La APT Kimsuky, cuyos objetivos son los “think tank” y las actividades políticas de Corea del Sur, ha renovado su arsenal con todo un marco de trabajo completamente diseñado para el ciberespionaje y lo ha utilizado en una campaña de spear- phishing. Además, Bluenoroff, un subgrupo del infame colectivo Lazarus, se ha desplazado hacia nuevos objetivos, entre los que se incluyen empresas de criptomonedas y terminales punto de venta (PoS).
Kaspersky Lab también detectó un pico de actividad de ciberamenazas en Oriente Próximo. Por ejemplo, StrongPity APT lanzó una serie de nuevos ataques man-in-the-middle (MitM) contra redes de proveedores de servicios de Internet (ISP). Desert Falcons, otro grupo criminal muy preparado, volvió a atacar dispositivos Android con un malware ya utilizado en 2014.
En este primer trimestre, los analistas de Kaspersky Lab también descubrieron varios grupos que, de forma rutinaria, apuntaban sus campañas hacia routers y hardware de red, un planteamiento que ya adoptaron anteriormente actores como Regin y CloudAtlas. Según los analistas, los routers seguirán siendo un objetivo para los ciberatacantes como forma de introducirse en la infraestructura de las víctimas.
“Durante los tres primeros meses del año hemos visto a toda una serie de grupos de amenazas con diferentes niveles de sofisticación, pero que, en general, usaban las herramientas de malware más comunes y disponibles, Al mismo tiempo no hemos observado actividad significativa de algunos de los actores conocidos, lo que nos lleva a pensar que están pensando su estrategia y reorganizándose para futuros ataques”, afirma Vicente Diaz, analista principal de seguridad del equipo GReAT de Kaspersky Lab.