El grupo ciberespía Seedworm compromete a docenas de organizaciones

  • Actualidad

También conocido como MuddyWater o Zagos, Seedworm utiliza GitHub y un puñado de herramientas públicas, que luego personalizan para llevar a cabo su trabajo. Las organizaciones comprometidas incluyen agencias gubernamentales, telecos y empresas de petróleo y gas.

También puedes leer...

Cómo evaluar las opciones de SD-WAN

La Seguridad es Infinity

Gestión de cuentas con privilegios para Dummies

Cómo combatir las amenazas cifradas

Cómo vencer al malware evasivo

Symantec ha descubierto un grupo de ciberespionaje responsable de una serie de recientes ataques. Seedworm, también conocido como MuddyWater o Zagos, reúne información sobre objetivos distribuidos principalmente en todo el Oriente Medio, y ha comprometido con éxito a docenas de organizaciones, entre ellas multinacionales reconocidas, agencias gubernamentales, empresas de telecomunicaciones y de petróleo y gas, desde finales de septiembre.

Los investigadores de Symantec DeepSight Managed Adversary and Threat Intelligence (MATI) encontraron evidencias de Seedworm / MuddyWater y del grupo de espionaje APT28 (también conocido como Swallowtail, Fancy Bear) en un equipo de la embajada de un país de Oriente Medio en septiembre pasado, lo que llevó al descubrimiento de una nueva puerta trasera, técnicas y herramientas utilizadas por el grupo. Los investigadores de Symantec descubrieron el punto de entrada inicial del grupo y pudieron seguir las actividades posteriores.

Después de comprometer por primera vez un sistema a través de una puerta trasera, parece que Seedworm ejecuta una herramienta que roba contraseñas guardadas en los navegadores web y los correos electrónicos de los usuarios y utiliza herramientas de código abierto para obtener las credenciales de autorización de Windows. El grupo parece haber actualizado repetidamente su puerta trasera para evadir la detección y frustrar a los investigadores de seguridad. La investigación de Symantec revela además que Seedworm / MuddyWater usa GitHub y un puñado de herramientas disponibles públicamente, que luego personalizan para llevar a cabo su trabajo.

Las motivaciones de Seedworm son muy parecidas a las de muchos grupos de ciberespionaje, que buscan información procesable sobre organizaciones y personas específicas. El grupo de espionaje logró esto con una preferencia por la velocidad y la agilidad sobre la seguridad operativa, lo que en última instancia condujo a la identificación de su infraestructura operativa clave por parte de Symantec.