Se descubre importante campaña de ciberataques en países de Latinoamérica bautizada como “El Machete”

by  Publicado pordlabori@acfcs.org -

[private]Expertos en temas de seguridad están siguiendo el rastro a una campaña de “ciberembestida” que parece apuntar a países en Latinoamérica, incluyendo a Colombia, Ecuador y Venezuela.

En los últimos años se ha producido una campaña para realizar ciberataques dirigidos a agencias de inteligencia, servicios militares y otras instituciones gubernamentales de varios países de Latinoamérica. La firma de ciberseguridad con sede en Rusia, Kaspersky Lab, que dice haber descubierto la campaña, le ha dado el nombre de El Machete.

El Machete es un ataque con raíces de países de habla hispana y Kaspersky cree que comenzó en 2010. La operación fue renovada con una nueva infraestructura en 2012 y se especula que todavía puede estar activa.

Las raíces en español son reveladas tanto en el código fuente de los atacantes como en la naturaleza de las víctimas. La mayoría de las víctimas de los ataques se encuentran en países como Colombia, Cuba, Ecuador, España, Perú, Cuba y Venezuela, sobre todo Ecuador y Venezuela. Un blanco en Rusia parece ser la embajada de uno de estos países.

Los atacantes envían correos electrónicos a sus potenciales víctimas con archivos en PowerPoint adjuntos que instalan el malware en el sistema de la víctima cuando se abre un archivo, estos archivos contienen, por ejemplo, material pornográfico, y una vez que las víctimas abren el archivo sus computadoras quedan expuestas. Este es una táctica muy común conocida como spear phishing.

Estos eran los nombres de algunos de los archivos PowerPoint que se adjuntaban:

  • Hermosa XXX.pps.rar
  • Suntzu.rar
  • El arte de la guerra.rar
  • Hot brazilian XXX.rar

El malware que contiene El Machete es capaz de registrar las pulsaciones de las teclas, capturar el audio desde el micrófono de la computadora, obtener muestras o capturas de pantalla e información de geolocalización, tomar fotos desde la cámara de la computadora, copiar archivos a un servidor remoto o un artefacto USB especial, entre otros.

El malware puede ser distribuido vía técnicas de ingeniería social (social engineering), que incluyen los mencionados correos electrónicos spear-phishing pero también infecciones a través de la web con falsos websites de blogs.

Tanto los atacantes como las víctimas parecen ser hispanoparlantes dado que el lenguaje utilizado es el español para los nombres de los archivos y en los documentos robados, y el leguaje de los operadores de la campaña también es español. Kaspersky señala que los códigos del servidor también están en español: reportes, ingresar, peso, etc.

La campaña tiene una característica técnica inusual: el uso del código de lenguaje Python copilado en archivos ejecutables de Windows – esto no tiene ninguna ventaja para los atacantes, excepto la facilidad de la codificación. Las herramientas no muestran signos de soporte multiplataforma ya que el código es fuertemente orientado a Windows; sin embargo, los expertos de Kaspersky han descubierto varias pistas que dan un indicio a que los atacantes han preparado la infraestructura para víctimas que utilizan OSX y Unix. Además de los componentes de Windows, señala de un componente móvil para Android ha sido descubierto también.

Dmitry Bestuzhev, jefe del departamento de investigación global y equipo de análisis de Latinoamérica de Kaspersky, señala que las identidades de los atacantes son desconocidas, pero que debido a los objetivos, sospecha que puede ser un elemento gubernamental en la región. Esa conclusión se basa en “la regla de exclusión”, señaló Bestuzhev a la publicación Quartz. “Hay grandes jugadores en el mercado: cibercriminales que buscan dinero, hacktivistas que buscan presencia en los medios, y elementos gubernamentales que buscan documentos secretos e información como esta”.

La información a la que se apuntó, según Bestuzhev, tiene relación con expedientes secretos que contienen información sensitiva, esto sugiere que la campaña no tiene una motivación financiera. Qué país es el culpable es casi imposible de decir porque “la evidencia con la que contamos no nos permite atribuir con certeza esa culpa”, señaló Bestuzhev a Quartz.

La mejor protección contra campaña de ciberespionaje tales como Machete es aprender cómo el spear phishing y otros ataques funcionan y no caer en sus trampas, así como contar con una  solución de seguridad funcional y actualizada.

El Machete muestra que hay muchos jugadores regionales en el mundo de los ataques selectivos y que tales ataques se han vuelto parte del arsenal de ciberataques de muchos delincuentes y países en todo el mundo. “Podemos estar seguros que existen ataques selectivos paralelos en América Latina y otras regiones”, concluye Kaspersky Lab.[/private]