Kaspersky Lab ha descubierto que el ciberespionaje patrocinado por Estados-nación es cada vez más sofisticado, se enfoca en usuarios cuidadosamente definidos y utiliza herramientas complejas modulares, y se mantiene oculto a los sistemas de detección cada vez más eficientes.
Las últimas plataformas, como EquationDrug, ahora están
compuestas de muchos módulos complemento que les permite seleccionar y realizar
una amplia gama de funciones, dependiendo de su objetivo y de la información
que contienen.
“Los Estados-nación atacantes buscan mejor estabilidad,
invisibilidad, fiabilidad y universalidad en sus herramientas de
ciberespionaje. Están enfocados en crear infraestructuras que envuelvan tal
código en algo que se pueda personalizar en sistemas vivos y que proporcionen
una manera segura para almacenar todos los componentes y datos en forma
cifrada, inaccesible para los usuarios regulares”, explica Costin Raiu,
Director del Equipo de Análisis e Investigación Global de Kaspersky Lab. “La
sofisticación de la infraestructura hace que este tipo de actor sea diferente
de los ciberdelincuentes tradicionales, ya que prefiere enfocarse en la carga y
en las capacidades del malware que están diseñadas para obtener ganancias
financieras directas”.
Otras formas en que estos Estados-nación atacantes diferencian
sus tácticas de los ciberdelincuentes tradicionales incluyen:
- Escala. Los ciberdelincuentes tradicionales distribuyen en forma masiva correos electrónicos con archivos adjuntos maliciosos o infectan sitios web a gran escala, mientras que los actores Estados-nación prefieren ataques quirúrgicos altamente selectivos, que infecten sólo a un puñado de usuarios seleccionados.
- Enfoque individual. Mientras que los ciberdelincuentes típicos utilizan de manera reiterada código fuente públicamente disponible como por ejemplo los Troyanos Zeus o Carberb, los actores Estados-nación construyen malware único y personalizado, e incluso implementan restricciones que evitan el descifrado y la ejecución fuera de la computadora objetivo.
- Extracción de información valiosa. Los ciberdelincuentes en general intentan infectar a tantos usuarios como sea posible. Sin embargo, no tienen el tiempo o el espacio de almacenamiento para revisar manualmente todas las máquinas que infectan y saber quiénes son los propietarios, qué tipo de datos tienen almacenados y qué tipo de software están ejecutando – para luego transferir y almacenar todos los datos potencialmente interesantes.
Por otro lado, los Estados-nación atacantes tienen los
recursos para almacenar todos los datos que sean necesarios. Para esquivar la
atención y mantenerse invisibles para el software de seguridad, tratan de
evitar la infección de usuarios al azar y en lugar de eso dependen de una herramienta
genérica de administración remota del sistema que pueda copiar cualquier
información que pudieran necesitar y en cualquier cantidad. Sin embargo, esto
podría funcionar en su contra ya que la movilización de grandes cantidades de
datos podría hacer muy lenta la conexión de la red y despertar sospechas.
EquationDrug es la principal plataforma de espionaje
desarrollada por el Grupo Equation. Ha estado en uso por más que una década
aunque ahora sea reemplazada en gran parte por la plataforma aún más sofisticada
GrayFish. Las tendencias en tácticas confirmadas por el análisis de
EquationDrug fueron observadas por primera vez por Kaspersky Lab durante su
investigación de las campañas de ciberespionaje Careto y Regin, entre otras.
Más información
- Investigación de la plataforma EquationDrug desde http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/