The White Company: un nuevo grupo de ciberespionaje gubernamental ataca a la Fuerza Aérea de Paquistán.

Un complejo ataque de ciberespionaje a la Fuerza Aérea de Paquistán ha expuesto las operaciones de un nuevo grupo de cibercriminales que podría tener vínculos con algún gobierno extranjero. Las operaciones de The White Company fueron expuestas por la compañía de seguridad Cylance, que publicó el primero de varios informes sobre la amenaza.

Esta operación de espionaje particular ha recibido el nombre de “Operación Shaheen” en referencia al avión Shaheen Falcon que es símbolo de la Fuerza Aérea paquistaní. El grupo de cibercriminales The White Company estuvo tratando de invadir las redes de la milicia paquistaní durante el último año con correos phishing que contienen troyanos de acceso remoto que, a su vez, instalan otros programas maliciosos que atacan a sus víctimas.

Los correos maliciosos ofrecían información que decía provenir de fuentes confiables y se mostraba relevante para sus víctimas con asuntos que hacían mención del gobierno de Paquistán y y la milicia China. Su esfuerzo por despertar el interés de los miembros de la Fuerza Aérea “es evidente por los temas que se expresan en los nombres de archivo de los documentos, los supuestos contenidos de los documentos y los temas específicos que se utilizan para atraer a los militares”.

Aunque el uso de correos fraudulentos para irrumpir en un equipo o red es una operación simple y común, la complejidad de las operaciones de The White Company se vuelve extraordinariamente compleja con los métodos que utiliza para evadir y ofuscar su descubrimiento y operaciones una vez que lograron irrumpir en las redes.

“The White Company es el primer atacante que conocemos de cualquier tipo que tiene en la mira y evade de forma eficiente nada menos que ocho productos antivirus”, dijo Kevin Livelli, director de amenazas de inteligencia en Cylance y co-autor del informe sobre la Operación Shaheen. Los ocho antivirus afectados son Sophos, ESET, Kaspersky, Bitdefender, Avira, Avast, AVG y Quick Heal.
Pero sus innovadores y exitosos métodos de evasión no son la única particularidad de The White Company: la amenaza también llama la atención por las múltiples capas de ofuscación que emplea. “Una de las técnicas es empaquetar el programa malicioso, que es una técnica común. Pero la empaquetan en cinco capas diferentes, lo que es algo inusual”, explicó Tom Pace, director de servicios de consultoría de Cylance y otro de los co-autores del informe.

Esta es una decisión arriesgada, porque con cada capa existe un riesgo de corromper los datos. “Que The White Group se arriesgue a empaquetar cinco veces los archivos indica que están muy familiarizados con este tipo de herramienta, no es algo que veamos seguido”, indicó Pace.

Los recursos técnicos y económicos necesarios para llevar a cabo este tipo de operación son muchos y difíciles de conseguir para un cibercriminal independiente: acceso a desarrolladores de exploits para vulnerabilidades nuevas que aún no han sido parchadas; un sistema de construcción de exploits complejo y automatizado; la capacidad de modificar, refinar y desarrollar exploits para que se ajusten a las necesidades de cada misión en particular; la capacidad de reconocer a sus blancos de forma avanzada. Esta es una de las razones que despierta las sospechas de que los cibercriminales de The White Company estén operando con el auspicio de algún gobierno extranjero, aunque no logra definir cuál.

“Paquistán es una nación turbulenta, con armas nucleares y una historia de políticas internas explosivas. Su posición en la estrategia política mundial la convierte en un blanco obvio de todos los estados y naciones con programas desarrollados de ciberataque (como la alianza FVEY – Estados Unidos, Canadá, Inglaterra, Australia y Nueva Zelanda – China, Rusia, Irán, Corea del norte, Israel”, dice el informe de Cylance.

Fuentes
Cylance Discovers New Middle Eastern APT Actor: The White Company • Business Wire
Sophisticated Campaign Targets Pakistan’s Air Force • Dark Reading
Scare Force: Pakistan military hit by Operation Shaheen malware • The Register