EastWind, la campaña de ciberespionaje contra instituciones rusas

  • Actualidad
malware virus

Kaspersky ha identificado la campaña, atribuida a los grupos de amenazas persistentes avanzadas de habla china APT31 y APT27, que hace uso de herramientas legítimas como Dropbox y LiveJournal para infiltrarse en infraestructuras tecnológicas críticas y organismos gubernamentales, particularmente de Rusia.

Kaspersky ha informado de la nueva campaña de ciberespionaje EastWind, que los expertos de la compañía llevan investigando desde principios del mes de agosto. Según sus hallazgos, se dirige especialmente contra entidades gubernamentales y las infraestructuras tecnológicas críticas, especialmente de Rusia, con técnicas sofisticadas y sigilosas.

Los atacantes se sirven de una puerta trasera actualizada llamada CloudSorcerer, que utiliza algunos servicios online legítimos, como Dropbox y LiveJournal, desde los que ejecutan comandos que les permiten tomar el control de dispositivos infectados. Previamente, envían enlaces maliciosos en correos de phishing, desde los que descargan archivos en el sistema operativo. También utilizan herramientas como el troyano de acceso remoto GrewApacha y el implante PlugY.

Detrás de la campaña están los grupos de amenazas persistentes avanzadas de habla china APT31 y APT27. Si el primero de ellos era conocido por el robo de propiedad intelectual y el ciberespionaje, el segundo se ha dirigido en particular a sectores gubernamentales y de defensa. Al parecer, han colaborado en la campaña EastWind, como evidencia el intercambio de herramientas (GrewApache se asocia a APT31 y PlutY a APT27).

Si bien la campaña se ha centrado en Rusia, Kaspersky considera que es una amenaza que puede tener impacto sobre otras regiones. Por ello, la compañía alerta a empresas de tecnología y organismos gubernamentales de otros países, en especial de los sectores de defensa, investigación tecnológica e infraestructuras críticas.