Noticias

Se descubre una operación de ciberespionaje de 7 años en Latinoamérica

Investigadores de seguridad han descubierto una operación de ciberespionaje que ha estado afectando a periodistas, activistas y políticos latinoamericanos desde 2008. Se sospecha que la operación podría estar patrocinada por algún gobierno.

Los expertos de Citizen Lab descubrieron la operación y la denominaron Packrat. Los ataques están centrados en Argentina, Ecuador, Brasil y Venezuela y se distribuyen mediante sitios web y perfiles de redes sociales falsos de grupos de la oposición que distribuyen programas maliciosos y llevan a cabo ataques phishing.

“Los atacantes, a quienes denominamos Packrat, han demostrado un interés agudo y sistemático en la oposición política y prensa independiente de los países del ALBA (Alianza Bolivariana para los Pueblos de Nuestra América) y sus aliados más recientes. Estos países están vinculados por un acuerdo de comercio y cooperación en una serie de asuntos no-financieros”, explicaron los expertos de Citizen Lab.

Se descubrió que los atacantes habían intentado comprometer los equipos del fiscal argentino Alberto Nisman, que sufrió una sospechosa muerte por un disparo en la cabeza a finales del año pasado. Tras la resonada muerte de Nisman, se encontró un programa espía en su teléfono móvil que enviaba los datos robados a la misma infraestructura C&C que las víctimas de Packrat en Ecuador.

Las víctimas de Ecuador recibían correos electrónicos de una organización falsa que decía ser una fuerte opositora del presidente Rafael Correa. Otros mensajes prometían revelar los nombres de las personas que estaban bajo investigación por la inteligencia ecuatoriana.

“Mi ordenador ha estado contaminado por tanto tiempo que imagino que tienen acceso a toda mi información”, dijo la periodista ecuatoriana Janet Hinostroza. Otro periodista ecuatoriano, César Ricuarte, recibió 34 mensajes maliciosos de Packrat.

Packrat también ha establecido sitios web de organizaciones políticas falsas que publicaban noticias inventadas. “Lo interesante de estas organizaciones falsas es que no hay evidencias de que se usen para propagar malware o ataques phishing (….). Tal vez su propósito sea propagar información falsa o atraer al tipo de individuos que Packrat y sus patrocinadores quieren espiar”.

En septiembre, uno de los investigadores de Citizen Lab comenzó a recibir amenazas mientras analizaba uno de los equipos vinculado a Packrat ubicado en Estados Unidos: “Vamos a analizar tu cerebro con una bala — y también el de tu familia”, decía un mensaje que apareció en la pantalla. “Te gusta jugar al espía y meterte donde no debes, ya deberías haber aprendido que eso tiene un precio— ¡tu vida!”.

Morgan Marquis-Boire, una de las investigadoras, explicó que este tipo de comportamiento no es común entre los hackers profesionales y podría indicar que tienen muy poco miedo a ser rastreados y juzgados por la ley.

Packrat operó desde dominios alojados por compañías en Argentina, Brasil, Francia, España, Suecia, Uruguay y Estados Unidos, aunque durante los últimos dos años gran parte de sus sitios se alojaban en GoDaddy.com.

Los expertos de CitizenLab creen que la amenaza tiene todas las características de ser una operación de ciberespionaje impulsada y respaldada por algún gobierno en particular, pero no ha especificado a ningún sospechoso.

Fuentes

Graham Cluley Security News

The Huffington Post

The Register

Se descubre una operación de ciberespionaje de 7 años en Latinoamérica

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada