El ejército ruso atacado, posiblemente por un grupo de hackers chino
La campaña también ha afectado a compañías rusas de telecomunicaciones y, como daños colaterales, a analistas financieros que cubren en ruso el sector de telecomunicaciones para empresas financieras globales, según la empresa Proofpoint Inc.
- Black Vine, ¿cómo lleva a cabo sus ciberataques?
- Detienen a los sospechosos de los ataques del ransomware CoinVault
- Los ataques DDoS crecen como herramienta de extorsión del grupo DD4BC
- Los cibercriminales amplían sus métodos de ataque
- El ciberespionaje más allá de la sombra de la conexión a Internet
Miembros del ejército ruso han estado recibiendo correos de phising perfectamente desarrollados desde mediados de verano. Los atacantes usan herramientas en idioma chino e instalaciones de mando y control chinas, según un informe presentado ayer..
El ataque comienza con un correo perfectamente escrito en ruso que parece proceder de alguien de la misma entidad militar o de un analista del mismo grupo militar. Viene con un documento, un archivo de Microsoft Word, con un artículo publicado sobre la historia de pruebas militares en Rusia. “Es un documento señuelo”, ha afirmado Kevin Epstein, vicepresidente de Proofpoint Inc . “Lo abres, lo lees y piensas que es interesante. Luego lo cierras y te olvidas. Pero cuando lo cierras se activa una macro, y la macro ejecuta un segundo fichero para bajar un tercer fichero que es el material dañino”.
Entonces es cuando el malware toma el control del ordenador, y todo a lo que tenga acceso el usuario, los atacantes tienen acceso. “Ningún programa antivirus detectaría un virus en el documento porque no hay virus en el documento”, ha afirmado. “Y la ejecución cuando se cierra el documento es una técnica común anti-detección, pues la mayoría de los sistemas de sandboxing hacen el chequeo cuando el documento está abierto, no cuando está cerrado”.
Según Epstein, empleados de su empresa de habla rusa afirman que el correo es muy convincente, y que no hay nada en él que sea sospechoso a primera vista, por lo que cualquiera podría abrirlo.
En el pasado, se ha relacionado al mismo grupo de ciberdelincuentes con ataques a instalaciones militares en Asia Central.
“La atribución de los ataques es siempre compleja, pero hay una utilización significativa de herramientas en idioma chino, y el mando y control va siempre a sitios situados en áreas de influencia china”, ha afirmado Kevin Epstein, vicepresidente de Proofpoint Inc. Esto significaría que los autores son probablemente chinos, pero siempre existe la posibilidad de que algún otro grupo este intentando de forma deliberada de culpar a los chinos.
