Objetivos geopolíticos y nuevas campañas en Asia, principales APT del segundo trimestre
- Actualidad
Durante el segundo trimestre de 2018, se ha producido una intensa actividad en operaciones de APT, principalmente en Asia, en los que estaban implicados grupos de ciberdelincuentes ya conocidos y otros menos habituales, según los analistas de Kaspersky Lab.
También puedes leer... |
Varios de estos grupos seleccionaron o programaron sus campañas teniendo en cuenta acontecimientos geopolíticos de cierta relevancia. Estas y otras dinámicas se incluyen en el último Informe
El último informe trimestral sobre amenazas de Kaspersky Lab, correspondiente al segundo trimestre del año, destaca por las nuevas campañas lanzadas por grupos de amenazas persistentes avanzadas (APT), algunos de los cuales habían permanecido en silencio durante años. Asia siguió siendo el epicentro de interés para este tipo de amenazas.
En la revisión que han realizado sus expertos, destacan los siguientes descubrimientos:
- El regreso del actor que estaba detrás de Olympic Destroyer. Después de su ataque en enero de 2018 contra los Juegos Olímpicos de invierno de Pyeongchang, los analistas descubrieron lo que creían era una renovada actividad de este actor dirigida contra instituciones financieras en Rusia y laboratorios de prevención de amenazas bioquímicas en Europa y Ucrania. Varios indicadores sugieren una relación media y baja entre Olympic Destroyer y Sofacy, el actor de amenazas de habla rusa.
- Lazarus/BlueNoroff. Existían indicios de que este APT de perfil alto se dirigía contra instituciones financieras en Turquía, como parte de una campaña de ciberespionaje más amplia, así como contra casinos en América Latina. Estas operaciones sugieren que la motivación para este grupo sigue siendo económica, no teniendo en cuenta las conversaciones de paz en curso con Corea del Norte.
- Los analistas observaron una actividad relativamente alta de Scarcruft APT, con el actor de amenazas utilizando malware de Android y lanzando una operación con un backdoor al que han dado el nombre de POORWEB.
- El APT LuckyMouse, un actor de amenazas de idioma chino conocido como APT27, que había sido visto anteriormente golpeando ISPs en Asia con ataques de “abrevadero” (waterhole) contra sitios web prestigiosos, estaba apuntando activamente a entidades gubernamentales kazajas y mongolas en el momento en el que sus gobiernos se encontraban en de conversaciones en China.
- La campaña VPNFilter descubierta por Cisco Talos y atribuida por el FBI a Sofacy o Sandworm, mostró la enorme vulnerabilidad del hardware de red doméstico y de las soluciones de almacenamiento. La amenaza puede incluso introducir malware en el tráfico para infectar ordenadores detrás del dispositivo de red infectado. El análisis de Kaspersky Lab confirmó que pueden encontrarse rastros de esta campaña en prácticamente todos los países.