Informes sobre APT

La amenaza de Darkhotel

Technical Appendix
PDF version

Casi como Crouching Yeti, la Amenaza Persistente Avanzada (APT) Darkhotel es turbia, resistente, rica en recursos y muestra una combinación de características muy inusual.

Esta amenaza operan lanzando ataques dirigidos precisos con exploits avanzados Flash para vulnerabilidades de día cero, que evaden así las últimas defensas de Windows y Adobe. Pero también se propagan de forma imprecisa y masiva hacia objetivos indefinidos con tácticas de difusión peer-to-peer. Como si esto fuera poco, una de las características más únicas e inusuales de este grupo es que durante varios años ha sido capaz de seguir y atacar blancos en movimiento mediante las redes de hoteles que sirven a los viajeros internacionales. Estos viajeros suelen ser ejecutivos de alto rango de varias industrias que hacen negocios y subcontratos con la región de Asia y el Pacífico, incluyendo directores ejecutivos, vicepresidentes, directores de ventas, encargados de investigación y desarrollo, entre otros. šEsta intrusión a la red del hotel ayuda a los atacantes a conseguir acceso global a sistemas muy valiosos. Nuestras observaciones indican que el mayor volumen de ataques a redes de hoteles comenzó en agosto de 2010 y continuó a lo largo de 2013, pero estamos investigando algunos incidentes que vimos en 2014.

Además de contaminar las redes p2p para infectar a las masas, deslegitimizan a las Autoridades de Certificación para que sus ataques avancen. Abusan de sus certificados digitales débiles para firmar sus códigos maliciosos. De este modo, el atacante abusó de la confianza de al menos diez CAs. En la actualidad, roban y reciclan otros certificados legítimos para firmar la mayoría de sus puertas traseras estáticas y paquetes de herramientas para robar información. Su infraestructura crece y se reduce con el tiempo, sin mostrar un patrón consistente. Está protegida con un cifrado de datos flexible, pero sus funcionalidades pobres debilitan sus defensas.

Las víctimas de los ataques pueden agruparse en las siguientes categorías:

  • Grandes fabricantes de productos electrónicos
  • Capital de inversiones y fondos de capital privado
  • Farmacias
  • Deslocalización y venta de productos cosméticos y químicos
  • Deslocalización de fabricantes de automóviles
  • Ensamblaje, distribución, venta y servicios de automóviles
  • Bases de defensa industrial
  • Servicios de autoridades y ejércitos
  • Organizaciones no-gubernamentales

Creemos que alrededor del 90% de las infecciones se encuentran en Japón, Taiwán, China, Rusia y Corea del Sur, tal vez debido a la distribución indiscriminada del programa. En total, desde 2008, los casos de infección alcanzó los miles. Pero los objetivos del ataque más interesantes son los ejecutivos de Estados Unidos y Asia que viajan haciendo negocios e inversiones en la región Asia-Pacífico. Una combinación de información sobre las detecciones y datos de comando y control recopilados por la Kaspersky Security Network (KSN) registró infecciones en Estados Unidos, Emiratos Árabes Unidos, Singapur, Kazajistán, Corea del Sur, Filipinas, Hong Kong, India, Indonesia, Alemania, Irlanda, México, Bélgica, Serbia, Líbano, Paquistán, Grecia, Italia y otros países. La distribución geográfica de las víctimas de esta amenaza es muy extensa y muchas de las víctimas y blancos significativos viajan con frecuencia entre estos países. Por lo tanto, la ubicación geográfica de las víctimas cambia con sus viajes frecuentes.

Cuando los analistas de Kaspersky visitaron los hoteles donde tuvieron lugar incidentes de Darkhotel, intentaron tender una trampa “honeypot”, no lograron atraer ningún ataque, lo que indica que los atacantes tienen un conocimiento muy selectivo y actúan de acuerdo a ello. Estudios posteriores demostraron lo cuidadosos que son los atacantes para esconder sus actividades: tan pronto como infectaron a un blanco, eliminaron sus herramientas de la vista de la red del hotel para mantenerse ocultos.

La actividad y los objetos de Darkhotel han salido a flote por partes durante los últimos años, pero hemos identificado herramientas Darkhotel que datan de 2007. Considerando sus técnicas ricas en recursos, sus métodos avanzados de explotación y su amplia infraestructura dinámica, creemos que veremos más actividades de Darkhotel en los años venideros. Nuestro informe de Darkhotel y apéndices que contienen indicadores e información técnica recopila y organiza la información sobre las actividades de esta amenaza obtenida hasta el momento.

La amenaza de Darkhotel

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada