Global Preloader
Noticia Internacional
(09/Nov/2017) Al descubierto nuevo grupo de espionaje cibernético 'SowBug'

Al descubierto nuevo grupo de espionaje cibernético 'SowBug'

 

El grupo hacker Sowbug,  ha sido expuesto por los investigadores de seguridad de Symantec, quienes descubrieron que el grupo realizaba ataques clandestinos contra instituciones de política exterior, organismos gubernamentales y objetivos diplomáticos en países como Argentina, Brasil, Ecuador, Perú y Malasia.
El análisis de Symantec descubrió que el grupo de hacking Sowbug usa una pieza de malware llamada "Felismus" para lanzar sus ataques e infiltrarse en sus objetivos.

Identificado por primera vez a finales de marzo de este año, Felismus es una pieza sofisticada y bien escrita de acceso remoto Trojan (RAT) con una construcción modular que permite que el troyano de la puerta trasera oculte o amplíe sus capacidades.

El malware permite a los actores malintencionados tomar el control completo de un sistema infectado y, como la mayoría de las RAT, Felismus también permite a los atacantes comunicarse con un servidor remoto, descargar archivos y ejecutar comandos de shell.

Mediante el análisis de Felismus, los investigadores pudieron conectar campañas de ataque previas con el grupo de hackers Sowbug, lo que indica que había estado activo desde al menos principios de 2015 y puede haber estado operando incluso antes.

"Hasta la fecha, Sowbug parece enfocarse principalmente en entidades gubernamentales en América del Sur y el Sudeste Asiático y se ha infiltrado en organizaciones en Argentina, Brasil, Ecuador, Perú, Brunei y Malasia", dijo el informe de Symantec.
"El grupo tiene muchos recursos, capaz de infiltrarse en múltiples objetivos simultáneamente y, a menudo, operará fuera del horario laboral de las organizaciones objetivo".

Aunque todavía no está claro cómo Sowbug logró afianzarse en las redes de computadoras, la evidencia reunida por los investigadores sugirió que los atacantes han utilizado actualizaciones de software falsas y maliciosas de Windows o Adobe Reader.

Los investigadores también descubrieron que el grupo utilizó una herramienta conocida como Starloader para desplegar malware y herramientas adicionales, como volcadoras de credenciales y registradores de pulsaciones, en las redes de las víctimas.

Los investigadores de Symantec han encontrado pruebas de que los archivos de Starloader se están extendiendo como actualizaciones de software tituladas AdobeUpdate.exe, AcrobatUpdate.exe e INTELUPDATE.EXE, entre otras.
En lugar de comprometer el software en sí, Sowbug otorga a sus herramientas de hacking nombres de archivos" similares a los utilizados por el software y los coloca en árboles de directorios que podrían confundirse con los utilizados por el software legítimo".
Este truco permite a los atacantes esconderse a plena vista, "ya que es poco probable que su apariencia despierte sospechas".
Los hackers de Sowbug tomaron varias medidas para permanecer ocultos mientras llevaban a cabo sus operaciones de espionaje fuera del horario de oficina estándar para mantener la presencia en redes segmentadas durante meses.
En un caso, el grupo permaneció sin detectarse en la red atacada durante un máximo de seis meses entre septiembre de 2016 y marzo de 2017.
Además del método de distribución de malware Felismus utilizado en la operación Sowbug, la identidad de los atacantes Sowbug también permanece desconocida.