Global Preloader
Noticia Internacional
(08/Jan/2018) Sowbug: grupo de ciberespionaje apunta a gobiernos sudamericanos y del sudeste asiático

Sowbug: grupo de ciberespionaje apunta a gobiernos sudamericanos y del sudeste asiático

Symantec identificó a un grupo previamente desconocido llamado Sowbug que ha estado realizando ataques cibernéticos altamente dirigidos contra organizaciones en América del Sur y el Sudeste Asiático y parece estar muy centrado en las instituciones de política exterior y los objetivos diplomáticos. Se ha visto a Sowbug organizar ataques de espionaje clásicos al robar documentos de las organizaciones en las que se infiltra.

Symantec vio la primera evidencia de actividad relacionada con Sowbug con el descubrimiento en marzo de 2017 de un malware completamente nuevo llamado Felismus utilizado contra un objetivo en el sudeste asiático. Posteriormente, identificamos más víctimas en ambos lados del Océano Pacífico. Si bien la herramienta Felismus se identificó por primera vez en marzo de este año, su asociación con Sowbug era desconocida hasta ahora. Symantec también ha podido conectar campañas de ataque anteriores con Sowbug, lo que demuestra que ha estado activo desde al menos principios de 2015 y puede haber estado operando incluso antes.

Sowbug con frecuencia mantiene una presencia a largo plazo en las redes de organizaciones específicas, algunas veces permaneciendo dentro de un entorno de víctimas por hasta seis meses. Una de las tácticas que utiliza para evitar llamar la atención es hacerse pasar por los paquetes de software comúnmente utilizados, como Windows o Adobe Reader. Nunca ha intentado comprometer el software en sí. Más bien, le da a sus herramientas nombres de archivo similares a los utilizados por el software y los coloca en árboles de directorios que podrían confundirse con los utilizados por el software legítimo. Esto permite que los atacantes se escondan a plena vista, ya que es poco probable que su aparición en las listas de procesos despierte sospechas.

No se sabe cómo Sowbug realiza su infiltración inicial en la red de un objetivo. En algunos casos, no había rastro de cómo Felismus llegó a las computadoras comprometidas, lo que significa que probablemente se implementó desde otras computadoras comprometidas en la red. En otros ataques, hubo pruebas de que Felismus se instaló utilizando una herramienta conocida como Starloader (detectada por Symantec como Trojan.Starloader). Este es un cargador que instala y descifra datos de un archivo llamado Stars.jpg. Además, se observó que Starloader implementaba herramientas adicionales utilizadas por los atacantes, como los dumpers de credenciales y los registradores de pulsaciones.

Si bien los ataques de ciberespionaje a menudo se observan contra objetivos en los EE. UU., Europa y Asia, es mucho menos común ver a los países de América del Sur como objetivos. Sin embargo, el número de operaciones activas de ciberespionaje ha aumentado constantemente en los últimos años y la aparición de Sowbug es un recordatorio de que ninguna región es inmune a este tipo de amenazas.