HPE entre los líderes de almacenamiento de Gartner
Los hackers o piratas informáticos que atacaron hace dos años los desarrolladores de Twitter, Facebook, Apple y Microsoft, continúan sus ataques y espionaje económico; inclusive, los han intensificado buscando información comercial confidencial y propiedad intelectual que pueda beneficiarlos.
El grupo de hackers, que los investigadores de seguridad de Kaspersky Lab y Symantec han bautizado con los nombres de Wild Neutrón o Morpho, han irrumpido en las redes de más de 45 grandes empresas desde el año 2012. Después del publicitado ataque en el año 2013 contra Twitter, Facebook, Apple y Microsoft, el grupo pasó a la clandestinidad y temporalmente detuvo su actividad.
Sin embargo, sus ataques se reanudaron en 2014 y desde entonces los han mantenido o intensificado, según informes independientes difundidos por las empresas de seguridad tecnológica, Kaspersky Lab y Symantec. Symantec ha identificado a 49 organizaciones diferentes en más de 20 países que han sido víctimas del grupo Morpho desde el año 2012; la mayoría de ellas se ubican en el sector de tecnología, farmacia, materias primas y sectores legales; además ubicadas o en los EE.UU., Canadá y Europa occidental.
Kaspersky identificó compañías adicionales hackeadas por el grupo que tienen relación con la criptomoneda Bitcoin, inversiones, salud, bienes raíces, fusiones y adquisiciones; así como usuarios individuales. La ausencia de un representante o vínculo gubernamental, relación con el cuerpo diplomático y otros detalles han llevado a los investigadores de los dos proveedores de seguridad a la conclusión de que el grupo Morpho es probable que no cuente con el aval o patrocinio de algún país o gobierno.
En cambio, es probable que esta pandilla de ciberdelincuentes, altamente sofisticada y que sabe cómo explotar la información de negocios que obtiene con ánimo de lucro, mediante la venta al mejor postor o al beneficiarse de ella en los mercados financieros.
El grupo de hackers ha reivindicado dos ataques importantes hasta ahora, uno contra Flash Player y el otro contra Java, y también tenían acceso a un certificado digital robado a la empresa taiwanesa Acer, que utiliza para firmar sus programas de malware.
Esto sugiere que los atacantes tiene acceso a las herramientas y técnicas de intrusión de alto valor. Cuando atacó los desarrolladores de las empresas tecnológicas y de Internet en el año 2013, el grupo lanzó el mismo desde un foro de desarrollo iOS que utilizaba Java. Esta técnica de comprometer un sitio web que ha sido visitado por múltiples personas se llama “ataque al abrevadero”.
Ese mismo año el grupo de hackers “Morpho”, utiliza el mismo método en múltiples foros de discusión, incluyendo expatforum.com, forum.samdroid.net, emiratesmac, com, mygsmindia .com, y un portal de discusión yihadista que ahora está cerrado, según dieron a conocer los investigadores de Kaspersky en un blog.
Los atacantes parecen estar bien informados sobre las empresas que atacan y la información que están buscando. “En muchos ataques, el grupo ha logrado comprometer servidores de correo electrónico de Microsoft Exchange o Lotus Domino, con el fin de interceptar correos electrónicos de la empresa y, posiblemente, los utilizan para enviar mensajes de correo electrónico falsificados “, según detallaron los investigadores de Symantec en un blog .
“El grupo también ha atacado los sistemas de gestión de contenidos empresariales, lo que a menudo son el hogar de documentos jurídicos y políticos, registros financieros, descripciones de productos y documentos de formación.” En uno de los casos, los atacantes comprometieron un sistema de gestión de la Información de Seguridad Física (PSIM), logrando el acceso a los seguros para la cámara de CCTV.
De acuerdo con Symantec, algunos hackers , si no todos los miembros del grupo, hablan con fluidez en inglés, algo que es evidente en el código del malware. Sin embargo, Kaspersky también encontró una conversación en rumano y una en ruso en los procedimientos de mando y control.
Los picos de actividad se observaron en servidores de comando y control del software malicioso que se corresponden con las horas laborales en Estados Unidos. Esto podría significar que algunos atacantes están basados desde los EE.UU., pero también podría deberse a que la mayoría de las víctimas son de los EE.UU. y Canadá, lo que obligó a los atacantes a trabajar durante ese intervalo de tiempo.
“Morpho es un grupo disciplinado, técnicamente capaz, con un alto nivel de la seguridad operacional “, dijeron los investigadores de Symantec. “Después de haber conseguido aumentar su nivel de actividad durante los últimos tres años, mientras que mantenían un bajo perfil, el grupo realmente representa una amenaza que debe ser tomada en serio por las empresas”.
1 comentario