Las autoridades israelíes han compartido detalles sobre un ataque informático que victimizó a más de 250 personas entre el 19 y el 24 de abril usando un programa que no dejaba rastros de su actividad.
La Autoridad de Defensa Cibernética Israelí acusó al grupo de hackers iraníes OilRig (también conocido como Helix Kitten y NewsBeef) de haber dirigido los ataques a víctimas cuidadosamente seleccionadas de agencias gubernamentales, compañías de tecnología, organizaciones médicas e instituciones educativas, incluyendo la prestigiosa universidad Ben-Gurion.
“Este es el ataque más grande y sofisticado que OilRig ha realizado hasta ahora”, dijo Michael Gorelik, vicepresidente de Morphisec, que participó en el análisis de la amenaza. “[Los atacantes] llevaron a cabo una importante operación de recolección de información”, explicó.
Los cibercriminales escondían el programa malicioso en un documento de Word que explotaba una vulnerabilidad conocida como CVE-2017-0199 que les permitía tomar control del equipo sin el conocimiento del administrador.
El exploit solo se activaba si la víctima abría el documento de Microsoft Office infectado que le enviaban los criminales. Si lo hacía, los criminales instalaban una variante del programa malicioso Hanictor, un troyano conocido por operar sin dejar rastros de archivos que expongan sus actividades en el equipo. Por esta razón, este tipo de malware es casi invisible e indetectable para la mayoría de los programas de seguridad.
A diferencia de la mayoría de los programas que utilizan Word para difundirse, esta amenaza no requería que los usuarios activaran los macros de Word para infectar al usuario, sino que contenía un exploit con un ejecutable HTML. “La diferencia más importante es que el uso de macros se cambió por un exploit para una vulnerabilidad. La habilidad de los criminales de organizar un ataque en un tiempo relativamente corto les permitió calcular que su ventana de oportunidad seguía abierta entre el momento de lanzar el parche y el de comenzar a instalarlo”.
Microsoft parchó la vulnerabilidad este mes a pesar de que se le había informado de su existencia hace nueve meses de forma privada, y los criminales comenzaron a atacar después de que saliera el parche, pero antes de que las compañías lo comenzaran a instalar. Todavía queda esperar que muchos de los usuarios instalen las actualizaciones en sus equipos, lo que puede ser un proceso lento.
Este no es el primer programa que se descubre con archivos invisibles: hace pocas semanas, Kaspersky Lab publicó los resultados de una investigación que sacó a la luz los detalles de una operación cibecriminal que, usando un programa que no dejaba rastros, vació 8 cajeros en una noche, robando más de 800.000 US$ en pocas horas.
Fuentes
Israel acusa a hackers iraníes de haber utilizado un programa invisible para atacar sus agencias e instituciones