Analistas de la compañía de seguridad Check Point Security han conseguido el acceso a los servidores de comando y control del grupo Rocket Kitten, que se dedicaba a lanzar ataques de ciberespionaje a científicos e investigadores de las plantas nucleares del Medio Oriente.
El grupo cibercriminal lanzo ataques dirigidos a más de 1.600 víctimas en solo un año, con una tasa de éxito del 26%. Sus ataques no son sofisticados pero son persistentes, y se basan en la ingeniería social para obtener la información secreta de víctimas que seleccionan con cuidado. Para comprometerlas, tratan de infectar sus equipos con un programa malicioso hecho a medida que le pasan mediante mensajes de correo personalizados desde la cuenta de alguno de sus contactos comprometidos.
Los ataques estaban dirigidos a científicos, diplomáticos, activistas de derechos humanos y periodistas, aunque según las investigaciones de Check Point, la novedad de este año es que se concentraron en atacar a científicos, físicos y académicos vinculados con la creación y manejo de plantas nucleares.
La mayoría de sus ataques, el 18%, estaban dirigidos a personas en Arabia Saudita. En segundo lugar se encuentra Estados Unidos, seguido por Irán, Holanda, Israel, Georgia y Turquía, con el 3% de los ataques. La mayoría de las víctimas fuera del Medio Oriente son iraníes que viven en el exterior.
Se cree que Rocket Kitten tiene vínculos con la Guardia Revolucionaria Islámica de Irán, uno de los grupos armados más poderosos de la región, por lo que también existen sospechas de que el gobierno pueda estar involucrado en esta operación de ciberespionaje.
Check Point descubrió que los cibercriminales habían infectado sus propios equipos con el capturador de teclado que habían desarrollado. Sus ordenadores estaban conectados con el servidor de comando y control como cualquier otro equipo comprometido. Es posible que esta haya sido una medida para evaluar su producto sin contar que, cuando la empresa de seguridad tomó el control del servidor de comando control, también pudo rastrear a los cibercriminales que tenían sus equipos conectados al servidor. Es así como los investigadores identificaron a uno de los programadores del grupo, quien se cree que es el principal desarrollador de las herramientas del grupo.
Las autoridades europeas no tardaron en tomar cartas en el asunto al enterarse de la amenaza: han cerrado todos los sitios maliciosos y bloqueado el servidor de comando y control para que no siga teniendo poder sobre los equipos comprometidos. Asimismo, las investigaciones continúan para dar con los responsables de los ataques.
Fuentes
Investigadores de seguridad secuestran el servidor C&C de cibercriminales iraníes