Termita Azul: una campaña de ciberespionaje sofisticado dirigida a organizaciones japonesas

Publicado el por

varios_logo_kaspersky2El GREAT de Kaspersky Lab ha descubierto Termita Azul – una campaña de ciberespionaje que dirigida a cientos de organizaciones en Japón durante al menos dos años. Los ciberatacantes buscaban información confidencial y utilizaban un exploit zero-day en Flash Player y un sofisticado backdoor que se personalizaba para cada víctima. Esta es la primera campaña descubierta por Kaspersky Lab que se centra de forma exclusiva en objetivos japoneses – y sigue estando activa.

En octubre de 2014, los analistas de Kaspersky Lab encontraron una muestra de malware nunca antes vista, que destacaba entre las demás debido a su complejidad. Un análisis más detallado ha demostrado que esta muestra es sólo una pequeña parte de una campaña de ciberespionaje grande y sofisticado.

La lista de objetivos incluye organizaciones no gubernamentales, industria pesada, química, sector financiero, medios de comunicación, organizaciones educativas, sanitarias, la industria de alimentos y otros.

Diversas técnicas de infección
Para infectar a sus víctimas, Termita Azul utiliza varias técnicas. Antes de julio de 2015, para la mayoría de los ataques se utilizaba spear-phishing emails – envío de software malicioso como archivo adjunto en un mensaje de correo electrónico con contenido atractivo para la víctima. Sin embargo, en julio cambiaron de táctica y comenzaron a difundir malware a través de un exploit Flash zero-day (CVE-2015-5119, el exploit se filtró por el incidente de Hacking Team a principios de este verano). Los ciberdelincuentes han comprometido varios sitios web japoneses y los visitantes de estas webs se descargaban automáticamente un exploit que infectaba el equipo. Esto se conoce como la técnica drive-by-download.

La implementación de un exploit zero-day dio lugar a un aumento significativo en la tasa de infección registrada por los sistemas de detección de Kaspersky Lab a mediados de julio.

Uno de los sitios web comprometidos, perteneciente a un miembro del gobierno japonés y otra persona, contenía un script malicioso que filtraba a los visitantes según las direcciones IP para centrarse en los que entraban desde la IP de una organización japonesa concreta. En otras palabras, solo los usuarios elegidos recibían la carga maliciosa.

Malware exclusivo y artefactos lingüísticos
Tras la infección con éxito, se despliega en el equipo un sofisticado backdoor que es capaz de robar contraseñas, descargar y ejecutar la carga útil adicional, recuperar archivos, etc. Una de las cosas más interesantes de Termita Azul es que se suministra a cada víctima una muestra de malware único, creado para lanzarse en un PC específico. Según los investigadores de Kaspersky Lab, esto se ha hecho para dificultar el análisis del malware y su detección.

La pregunta de quién está detrás de este ataque sigue sin respuesta. Como de costumbre, la atribución es una tarea muy complicada cuando se trata de ciberataques sofisticados. Sin embargo, los analistas de Kaspersky Lab han podido recoger algunas muestras de lenguaje. En particular, la interfaz gráfica de usuario del servidor de comando y control, así como algunos documentos técnicos relacionados con el malware utilizado en la operación están escritos en chino. Esto podría significar que los actores que están detrás de la operación hablan este idioma.

Tan pronto como los analistas de Kaspersky Lab reunieron suficiente información para confirmar que Termita Azul es una campaña de ciberespionaje dirigido a organizaciones japonesas, representantes de la empresa informaron a las agencias policiales locales sobre estos descubrimientos. Como la operación todavía está en curso, la investigación de Kaspersky Lab también continúa.

«Aunque Termita Azul no es la primera campaña de ciberespionaje que ataca Japón, sí es la primera campaña conocida por Kaspersky Lab que se centra estrictamente en objetivos japoneses. En Japón sigue siendo un problema, desde principios de junio, cuando se informó al Servicio de Pensiones de Japón del ciberataque, diversas organizaciones japonesas comenzaron a implementar medidas de protección. Sin embargo, los ciberatacantes, podrían haber mantenido una estrecha vigilancia sobre ellos y comenzaron a emplear nuevos métodos de ataque que amplió con éxito su impacto», afirma Vicente Díaz, analista principal en Kaspersky Lab.

Con el fin de reducir el riesgo de ser infectados por una campaña de ciberespionaje, los expertos de Kaspersky Lab recomiendan seguir las siguientes medidas:
* Mantener actualizado el software, especialmente software que es ampliamente utilizado ya que suele ser el más explotado por los ciberdelincuentes
* Si eres consciente de las vulnerabilidades en el software del dispositivo, pero no hay parches, evitar el uso de ese software
* Sospecha de mensajes de correo electrónico con archivos adjuntos
* Usa una solución anti-malware
* Los productos de Kaspersky Lab detectan con éxito y bloquean el malware con los siguientes nombres de detección:

o Backdoor.Win32.Emdivi. *

o Backdoor.Win64.Agent. *

o Exploit.SWF.Agent. *

o HEUR: Backdoor.Win32.Generic

o HEUR: Exploit.SWF.Agent.gen

o HEUR: Trojan.Win32.Generic

o Trojan-Downloader.Win32.Agent. *

o Trojan-Dropper.Win32.Agent. *

Deja un comentario

Este sitio utiliza Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.