Noticias
Operación In(ter)ception: ESET vs ciberespionaje
La compañía de ciberseguridad ESET, acaba de hacer pública la Operación In(ter)ception, aportando una prueba más de que en bastantes casos, la realidad tiene poco que envidiar a la ficción, y que las situaciones descritas por autores como Tom Clancy, John le Carre y Frederick Forsyth no están tan lejos de la realidad como nos gustaría pensar. Obviamente, debido a la evolución tecnológica han cambiado los medios, pero las intenciones y los esfuerzos por cumplirlas encuentran un fiel reflejo entre narrativa y realidad.
Y es que, como revela la compañía en su blog, el principal objetivo de la Operación In(ter)ception son los sectores militar y aeroespacial, dos áreas particularmente estratégicas y sensibles, y que por lo tanto son especialmente atractivas para los ciberdelincuentes. Algo que se incrementa sustancialmente si tenemos en cuenta que, aunque no lo confirman, los técnicos de ESET sospechan que tras dichos ataques se encuentra el ya más que conocido grupo Lazarus, al que la mayoría de los analistas relacionan de manera directa con el régimen de Corea del Norte.
La Operación In(ter)ception fue llevada a cabo a finales del pasado 2019, entre los meses de septiembre y diciembre, y en una primera fase consistió en una campaña de phishing dirigida contra objetivos específicos. La toma de contacto con los mismos se producía a través de LinkedIn, plataforma que los atacantes empleaban para hacer llegar una oferta de trabajo con origen en una compañía relevante del sector. La combinación de varios factores, como el uso de la red social profesional y la suplantación de una empresa legítima en ese contexto fueron suficiente para engañar a algunas víctimas.
Una vez establecido el primer contacto, el objetivo de los atacantes era establecer una comunicación fluida con las víctimas, con el pretexto del proceso de selección, ya fuera a través de LinkedIn o por correo electrónico. Para este último caso, los responsables de la Operación In(ter)ception habían creado cuentas de correo específicas para los perfiles falsos de la red social.
El objetivo, en todos los casos, era que la víctima terminara por descargar un documento en formato PDF alojado en OneDrive. En teoría este archivo incluía información salarial sobre la oferta. Sin embargo, y como ya habrás imaginado, en su interior se encontraba el malware empleado por los atacantes, un desarrollo ad hoc, para entrar en el sistema de la víctima y, desde ahí, desplegar su plan de ataque. Un proceso en el que empleaban múltiples aplicaciones aparentemente legítimas, pero que habían sido previamente modificadas, así como herramientas del propio sistema operativo, Windows en esta Operación In(ter)ception.
«Los ataques que hemos observado muestran todos los signos típicos de una campaña de espionaje y numerosas pistas que los relacionarían con el infame grupo Lazarus”, afirma Dominik Breitenbacher, responsable de la investigación en ESET.. “Sin embargo, ni el análisis del malware ni la investigación nos ha llevado aún a saber qué archivos estaban buscando los delincuentes”.
Un aspecto, en mi opinión sorprendente, de la Operación In(ter)ception es que, pese a tratarse de una operación que apunta al ciberespionaje, los delincuentes tras la misma también intentaron obtener beneficios económicos de la misma, suplantando la identidad de la víctima para remitir facturas falsas a sus contactos, unas facturas para cuyo pago se facilitaban datos bancarios de los atacantes Afortunadamente, los receptores de las mismas sospecharon, se pusieron en contacto con la víctima y, de esta manera, se puso a las víctimas sobre la pista de que algo extraño ocurría.
“Este intento de monetizar el acceso a la red de la víctima debe servir como ejemplo a la hora de ver la necesidad de establecer una defensa sólida contra intrusiones y de formar adecuadamente a los empleados de cualquier organización en ciberseguridad. Una concienciación básica en ciberseguridad ayuda a los trabajadores a conocer y a reconocer las tácticas usadas por los ciberdelincuentes por minoritarias que sean”, concluye Breitenbacher.