Grupo de piratas informáticos que golpea Twitter, Facebook, Apple y Microsoft intensifica los ataques

Los piratas informáticos que se enfocaron en Twitter, Facebook, Apple y desarrolladores de Microsoft hace dos años han escalado sus esfuerzos de espionaje económico mientras buscan información comercial confidencial y propiedad intelectual de la que puedan sacar provecho.

que los investigadores de seguridad de Kaspersky Lab y Symantec llaman Wild Neutron o Morpho, se ha infiltrado en las redes de más de 45 grandes compañías desde 2012.

Después de los ataques de 2013 contra Twitter, Facebook, Apple y Microsoft fueron muy publicitados, el grupo pasó a la clandestinidad y detuvo temporalmente su actividad. Sin embargo, sus ataques se reanudaron en 2014 y desde entonces se han intensificado, según informes separados publicados el miércoles por Kaspersky Lab y Symantec.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Symantec identificó 49 organizaciones diferentes en más de 20 países que han sido víctimas del grupo Morpho desde 2012. La mayoría de ellos pertenecían a los sectores tecnológico, farmacéutico, de productos básicos y legal y tenían su sede en los EE. UU., Canadá o Europa.

Kaspersky identificó compañías adicionales comprometidas por el grupos que participan en criptomonedas de Bitcoin, inversiones, sanidad, bienes inmuebles, fusiones y adquisiciones, así como usuarios individuales.

La ausencia de víctimas del cuerpo diplomático y gubernamental y otros detalles llevaron a los investigadores de los dos proveedores de seguridad a la conclusión que el grupo Morpho probablemente no esté patrocinado por un estado nación. En cambio, es probablemente una pandilla de delincuencia informática altamente sofisticada que sabe cómo explotar la información comercial que obtiene para obtener ganancias financieras, por ejemplo vendiéndola al mejor postor o beneficiándola en los mercados financieros.

El grupo ha utilizado en al menos dos exploits de día cero hasta ahora, uno para Flash Player y otro para Java, y también tuvo acceso a un certificado digital robado del fabricante taiwanés de productos electrónicos Acer que solía firmar sus programas de malware. Esto sugiere que los atacantes tienen acceso a herramientas y técnicas de intrusión de alto valor.

Cuando se dirigieron a desarrolladores de empresas de tecnología e Internet en 2013, el grupo lanzó su ataque desde un foro de desarrollo de iOS utilizando un exploit Java zero-day. Esta técnica de comprometer un sitio web que es visitado por múltiples objetivos previstos se denomina ataque de pozo de agua.

Ese mismo año, el grupo Morpho utilizó el mismo método con múltiples foros de discusión, incluyendo expatforum.com, forum.samdroid.net, emiratesmac, com, mygsmindia.com, y un panel de discusión yihadista que ahora está cerrado, dijeron investigadores de Kaspersky en una publicación de blog. Aún se desconoce el vector de ataque para los ataques de 2014 y 2015, pero hay indicios claros de que se utilizó un exploit basado en la web con un exploit de Flash Player de día cero, dijeron.

Si tiene éxito, estos basados ​​en la web exploits instala una puerta trasera de computadora personalizada desarrollada por el grupo que tiene versiones para Windows y Mac OS X. Los atacantes luego usan herramientas adicionales de hacking personalizado para moverse lateralmente a través de la red y comprometer computadoras adicionales, servidores y otros dispositivos.

Según Symantec Los investigadores, los atacantes de Morpho a menudo apuntan a las oficinas regionales de las víctimas y luego se mueven a través de sus redes internas para acceder a sus ubicaciones y sedes adicionales.

Los atacantes parecen estar bien informados sobre las compañías que atacan y la información que están buscando for.

"En muchos ataques, el grupo ha logrado comprometer los servidores de correo electrónico de Microsoft Exchange o Lotus Domino con el fin de interceptar los correos electrónicos de la empresa y, posiblemente, usarlos para enviar correos electrónicos falsos ", dijeron los investigadores de Symantec en una publicación de blog. "El grupo también ha atacado a los sistemas de gestión de contenido empresarial, que a menudo albergarán documentos legales y de políticas, registros financieros, descripciones de productos y documentos de capacitación".

En un caso, los atacantes pusieron en peligro un sistema de Gestión de Información de Seguridad Física (PSIM), obteniendo acceso a las cerraduras de las puertas y a las cámaras CCTV.

No está claro dónde se encuentra el grupo. Según Symantec, algunos, si no todos los miembros del grupo, hablan inglés con fluidez, lo cual es evidente a partir del código del malware. Sin embargo, Kaspersky también encontró una cadena en rumano y otra en ruso en los procedimientos de comando y control.

Se observaron picos de actividad en los servidores de comando y control del malware que corresponden con las horas de trabajo típicas de EE. UU. Esto podría significar que algunos atacantes tienen su base en los EE. UU., Pero también podría ser porque la mayoría de las víctimas son de EE. UU. Y Canadá, lo que obliga a los atacantes a trabajar durante ese intervalo de tiempo.

"Morpho es un grupo disciplinado y técnicamente capaz con un alto nivel de seguridad operacional ", dijeron los investigadores de Symantec. "Después de haber logrado aumentar su nivel de actividad en los últimos tres años manteniendo un bajo perfil, el grupo plantea una amenaza que las empresas deben tomar en serio".