CRIMEN Y SEGURIDAD

Advierten presencia de agentes chinos en ciberespionaje

Agentes chinos están muy activos en materia de ciberespionaje, de acuerdo con un reporte de las actividades en línea elaborado por Kaspersky Lab.

Los especialistas en seguridad indican que “los agentes de habla china no han desaparecido y siguen estando muy activos, pues realizan campañas de ciberespionaje contra una amplia gama de países y sectores verticales de la industria”.

En total, indican en un comunicado, “diez de los 24 proyectos de investigación realizados por Kaspersky Lab sobre ataques dirigidos avanzados en el tercer trimestre se centraron en actividades atribuidas a varios agentes en la región china”.

La investigación realizada de julio a septiembre de 2017 reveló una serie de acontecimientos en el área de ataques dirigidos, entre otros, “por agentes de amenazas de habla china, rusa, inglesa y coreana. En particular, los criminales chinos estuvieron especialmente activos durante este periodo. Su revitalización ha afectado no sólo a varias organizaciones, sino también a organismos gubernamentales y políticos, así como a grandes tratados regionales, lo que ha llevado a las relaciones internacionales al campo de estos ataques dirigidos avanzados”.

Según Kaspersky, en el tercer trimestre del año destaca el “aumento de ataques de ciberespionaje por agentes de habla china. Los ataques más interesantes fueron Netsarang/ShadowPad y CCleaner, ambos implicaban la incorporación de puertas traseras específicas en paquetes de instalación de software legítimo. Tan sólo CCleaner logró infectar dos millones de computadoras, lo que lo convirtió en uno de los mayores ataques de 2017”.

También, dicen los especialistas, “está el creciente interés de los agentes de habla china en ataques a instalaciones estratégicas y sectores de la economía. Al menos dos informes separados proporcionan casos claros sobre este punto: el ataque IronHusky contra compañías de aviación rusas y mongolas e institutos de investigación. Esta campaña fue descubierta en julio, cuando los dos países fueron atacados con una variante de Poison Ivy, por un agente de amenazas de habla china. El ataque estaba relacionado con las perspectivas de defensa aérea de Mongolia, un tema clave de las negociaciones celebradas con Rusia a principios de año. El ataque de H2ODecomposition en los sectores energéticos de la India y Rusia. Los sectores de energía de ambos países fueron atacados con un nuevo malware denominado ‘descomposición H2OD’. En algunos casos, este malware se hacía pasar por una popular solución antivirus india (QuickHeal)”.

Además, “en el tercer trimestre de 2017 los expertos de Kaspersky Lab emitieron varios informes sobre agentes de habla rusa. La mayoría de ellos se dedicaban a ataques de tipo financiero y a cajeros automáticos; sin embargo, un informe examinó la actividad de Sofacy durante el verano, indicando que el grupo se mantenía activo”.

Kaspersky reporta que, a propósito de agentes de habla inglesa, “el tercer trimestre también produjo otro miembro más de los Lamberás: Red Lambert. The Lamberts es una familia de herramientas avanzadas de ataque que ha sido utilizada por uno o varios agentes de amenazas contra víctimas de alto perfil, por lo menos desde 2008. El Red Lambert es una puerta trasera controladas desde la red, descubierta durante el análisis anterior de Grey Lambert y utilizada en lugar de certificados SSL codificados en comunicaciones de mando y control”.

“El panorama de las amenazas dirigidas evoluciona constantemente, no solo porque los ciberdelincuentes están cada vez mejor preparados y más avanzados tecnológicamente, sino también en términos geográficos. El aumento de los agentes de habla china demuestra una vez más la importancia de invertir en inteligencia sobre amenazas y en armar a las organizaciones con información sobre las más recientes tendencias y acontecimientos”, dijo Dmitry Bestuzhev, Director del Equipo de Investigación y Análisis para Kaspersky Lab América Latina. (Con información de Kaspersky Lab)

 

 

tfo