Home » Seguridad » Symantec revela nuevos detalles sobre hackers profesionales a sueldo

Symantec revela nuevos detalles sobre hackers profesionales a sueldo

Symantec divulga investigación reciente sobre “Hidden Lynx” (Lince Oculto), un grupo de hackers profesionales con capacidades avanzadas y sofisticado proceder, que pueden realizar ataques simultáneos contra múltiples blancos por  período ininterrumpido.

E3292280-HiddenLynx-Infographic Denominado como “Hidden Lynx”, este grupo de hackers a sueldo provee un servicio completo y personalizado de métodos de ataque para llevar a cabo tareas específicas como la recolección de información de una amplia gama de blancos tanto corporativos, como gubernamentales.  Los atacantes se aprovechan de vulnerabilidades de “día cero” y emplean técnicas como “watering hole”  para emboscar a los blancos o víctimas en la cadena de suministros para después llegar a su objetivo real.
El informe revela que “Hidden Lynx” no se limita a un conjunto de blancos pequeño, sino que ataca a cientos de organizaciones distintas en muchos países diferentes, incluso al mismo tiempo. Dada la amplitud y el número de blancos y países involucrados, es muy probable que la organización esté conformada por entre 50 y 100 hackers profesionales contratados por clientes para obtener información. El grupo parece robar lo que sea que les pueda interesar a sus clientes bajo pedido. De ahí la gran variedad y amplitud de blancos, la mayoría de ellos en Estados Unidos (52.7%).
Otros puntos destacados de la investigación son:
  • Hidden Lynx es un grupo agresivo, sofisticado y con mucha determinación. Tiene la capacidad de atacar a algunas de las organizaciones más protegidas del mundo mediante el uso de técnicas de última generación.
  • En junio de 2012 este grupo comprometió la seguridad del código de la firma digital Bit9´s como una estrategia para llegar a sus objetivos finales.
  • Su motivación parece ser económica
  • “Hidden Lynx” está  relacionado con la “Operación Aurora”

Asimismo, el grupo no se limita a un conjunto pequeño de blancos , sino que atacan a cientos de organizaciones distintas en muchos países diferentes, incluso al mismo tiempo. Dada la amplitud y el número de blancos y países involucrados, es muy probable que la organización esté formada por hackers profesionales contratados por clientes para obtener información. Ellos roban lo que sea que les pueda interesar a sus clientes bajo pedido. De ahí la gran variedad y amplitud de blancos.

Symantec opina que para llevar a cabo ataques a esta escala, el grupo debe tener una experiencia considerable de hackeo a su disposición, tal vez entre 50 y 100 empleados organizados en por lo menos dos equipos que llevan a cabo distintas actividades con diferentes herramientas y técnicas. Los tipos de ataques identificados requieren tiempo y esfuerzo para desplegarse, y en algunos casos, las campañas  requieren de recolección de inteligencia y una investigación antes de articular los ataques con éxito.

Al frente de este grupo hay un equipo que utiliza herramientas desechables junto con técnicas básicas pero efectivas para atacar a muchos blancos distintos. También pueden actuar como recaudadores de inteligencia. Symatec ha llamado a este equipo el “Equipo Moudoor”, por el nombre del troyano que utilizan. “Moudoor” es un troyano de puerta trasera que el equipo utiliza con libertad, sin preocuparse por ser descubierto por las empresas de seguridad. Un segundo equipo actúa como una unidad de operaciones especiales, personal de élite, que se dedica a los blancos más valiosos o más resistentes. El equipo de élite usa un troyano llamado Naid y por eso nos referimos a él como “Equipo Naid”. A diferencia de “Moudoor”, el troyano “Naid” se usa moderadamente y con cuidado para evitar detección y captura. Funciona como un arma secreta que solamente se utiliza cuando fallar no es una opción.

Según la investigación de la firma, desde 2011 el grupo realizó al menos seis campañas importantes, de las cuales la más notable es la campaña de ataque VOHO descubierta a mediados de 2012. Lo especialmente interesante de este ataque fue el uso de la técnica de “watering hole” y que se comprometió la infraestructura confiable de registro de archivos de Bit9. La campaña VOHO tenía como objetivo final atacar contratistas de defensa de los Estados Unidos cuyos sistemas estuvieran protegidos por el software de seguridad basado en archivos confiables de Bit9. Cuando el progreso de los atacantes de “Hidden Lynx” se vio bloqueado por este obstáculo, reconsideraron sus opciones y descubrieron que la mejor manera de esquivar la protección era comprometer el propio centro de la protección y usarlo para sus propósitos. Así que eso fue exactamente lo que hicieron cuando dirigieron su atención a Bit9 y atravesaron sus sistemas. Una vez adentro, los atacantes rápidamente encontraron el camino a la estructura de registro de archivos que era la piedra fundamental del modelo de protección de Bit9 y luego usaron el sistema para registrar una serie de archivos de malware, mismos que después se usaron para vulnerar a los blancos planeados.

Más información de “Hidden Lynx” está disponible en el blog de Symantec Security Response o en el Informe completo (PDF en inglés).

About Alicia Medina Rapetti

Managing Editor y cofundadora de OnDigital Magazine. Licenciada en Periodismo. Ha ejercido en radio, semanario y agencia de noticias. Fue editora y ejecutiva de Relaciones Públicas en Interamerican Marketing Solutions (IMS), con sede en Miami; Gerente de Marketing para A. Latina de ViewSonic Corporation; y CEO/fundadora de OrangebitePR.