Trend Micro Simply Security

Operación Pawn Storm: Compendio de datos y los desarrollos más recientes

Operación Pawn Storm es una campaña de espionaje cibernético de largo alcance y muy ambiciosa. Se le conoce principalmente por atacar a militares, al personal de las embajadas y de los contratistas de defensa de los Estados Unidos y de sus aliados, incluyendo a instituciones como la Organización del Atlántico Norte (OTAN). También ataca a las facciones opositoras, a los disidentes del gobierno ruso, a los medios internacionales y a las personalidades políticas ucranianas de alto perfil.

En octubre de 2014 publicamos nuestros hallazgos sobre Operación Pawn Storm en un reporte titulado “Operation Pawn Storm: Usando señuelos para evadir la detección”, y desde entonces hemos estando siguiendo sus movimientos y desarrollos.

¿Qué es Operation Pawn Storm

Es una operación activa de espionaje cibernético económico y político que ataca a una amplia gama de organizaciones de alto perfil, desde instituciones gubernamentales hasta personalidades de los medios de comunicación. Sus actividades se observaron por primera vez en el año 2004, pero los desarrollos recientes han revelado detalles más concretos sobre la operación, incluyendo sus orígenes y objetivos.

¿Qué lo hace distinto a otros grupos/operaciones de espionaje cibernético?

Operation Pawn Storm es distinta a otros grupos de creadores de amenazas que tienen inclinaciones políticas debido a sus métodos de ataque, los cuales incluyen los siguientes:

  • La utilización de correo electrónico con spear-phishing que lleva a SEDNIT/Sofacy. El correo electrónico con spear-phishing puede contener material/temas geopolíticos para persuadir al receptor para que lo abra. SEDNIT es un malware conocido por sus rutinas de backdoor y de robo de información.
  • La creación de páginas falsas de inicio de sesión en Outlook Web Access (OWA) con correos de phishing para robar credenciales. Una variante de sus correos de spear-phishing dirigía a los usuarios a una página falsa para iniciar sesión en Outlook Web Access, con la esperanza de robar sus credenciales. Uno de los muchos objetivos de este método en particular incluye al contratista de defensa de Estados Unidos, ACADEMI, antes conocido como Blackwater.
  • Exploits para las siguientes vulnerabilidades: CVEs: CVE-2010-3333, CVE-2012-0158, CVE-2013-1347, CVE-2013-3897, CVE-2014-1761, CVE-2014-1776, CVE-2015-2590, CVE-2015-4902, CVE-2015-7645
  • Creación (y uso) de malware para iOS para realizar espionaje. La aplicación maliciosa, que Trend Micro detectó como IOS_XAGENT.A o IOS_XAGENT.B, roba todo tipo de información de los dispositivos móviles que infecta, como mensajes, listas de contacto, datos de geolocalización, fotos e incluso grabaciones de voz.

¿Quiénes son sus objetivos?

Operation Pawn Storm es conocido por haber atacado a los siguientes grupos y organizaciones:

  • La OTAN y a sus estados miembros
  • Organizaciones gubernamentales, militares y médicas de Estados Unidos
  • Organizaciones gubernamentales, militares y médicas de los aliados de Estados Unidos
  • Disidentes rusos/oponentes políticos del Kremlin
  • Ciudadanos rusos de diferentes industrias y sectores civiles
  • Activistas ucranianos
  • Medios ucranianos
  • El ejército y el gobierno ucranianos
  • Gobiernos de Europa, Asia y el Medio Oriente

¿Cuáles son los incidentes más notables de la historia de Operation Pawn Storm?

Algunas de las actividades más sobresalientes de Operation Pawn Storm incluyen:

  • Junio de 2014 – se comprometen los sitios del gobierno polaco
  • Septiembre de 2014 – atacó a un importante abastecedor de combustible nuclear de Estados Unidos creando páginas falsas para iniciar sesión en Outlook Web Access para sus empleados. También lanzó ataques de páginas falsas para iniciar sesión en OWA contra instituciones militares y de defensa en Estados Unidos y Europa
  • Diciembre de 2014 – atacó las cuentas corporativas de 55 empleados de un importante periódico de Estados Unidos usando la cuenta comprometida de un corresponsal militar norteamericano al que habían atacado a principios del mismo mes
  • Enero de 2015 – atacó a tres populares bloggers de YouTube con un ataque de phishing a través de Gmail. El ataque sucedió cuatro días después de que los bloggers entrevistaran al Presidente de Estados Unidos Barack Obama en la Casa Blanca
  • Febrero 2015 – se descubrió que se estaban usando aplicaciones iOS maliciosas para actividades de espionaje. Asimismo, atacó al oficial de enlace de la OTAN en Ucrania con una página de OWA falsa
  • Abril de 2015 – lanzó ataques contra miembros de la OTAN. Asimismo, atacó a la estación de televisión francesa TV5Monde al provocar que varios cambios globales salieran del aire
  • Julio de 2015 – Trend Micro descubrió que estaba usando una nueva explotación de día cero de Java
  • Julio de 2015 – dirigió uno de sus servidores C&C a una IP de Trend Micro 
  • Agosto de 2015 – se descubrió una campaña nacional de espionaje, dirigida a disidentes, medios de comunicación, artistas y militares rusos, incluso a las esposas de oficiales de Estados Unidos
  • Septiembre de 2015 – instaló un servidor falso que imitaba al servidor SFTP (Safe File Transfer Protocol) del Consejo de Seguridad Holandés y creó un servidor de Outlook Web Access (OWA) falso para atacar a un socio del Consejo de Seguridad Holandés en la investigación MH17
  • Octubre de 2015 – Trend Micro descubrió que estaba usando código de exploit de día cero de Adobe Flash y atacó a varios ministerios de relaciones exteriores a través de correos electrónicos de phishing

Adobe y Día-Cero de Java en la Campaña Pawn Storm

Los exploits de día-cero se utilizan en los ataques dirigidos porque son efectivos, dado que los proveedores de software no han creado parches para ellos. En julio de 2015, detectamos URLs sospechosos que contenían un exploit de día-cero de Java descubierto recientemente, identificado como CVE-2015-2590. De acuerdo con nuestra investigación, los mensajes de correo electrónico se enviaban a ciertas fuerzas armadas de un país de la OTAN y a una organización de defensa de Estados Unidos que contenía estos URLs maliciosos donde se encontraba un exploit de Java. Una vez que se explota con éxito, ejecuta código arbitrario en las configuraciones predeterminadas de Java, comprometiendo a la seguridad del sistema.

El 13 de octubre, los atacantes detrás de Pawn Storm han estado usando el exploit de día-cero de Adobe Flash, identificado como CVE-2015-7645, para su campaña. De acuerdo con nuestro análisis, el día-cero de Flash afecta por lo menos a las versiones 19.0.0.185 y 19.0.0.207 de Adobe Flash Player. En esta campaña, Pawn Storm atacó varios ministerios de relaciones exteriores alrededor del mundo, excepto en Rusia. Los objetivos recibieron correos electrónicos de spear phishing que contenían links que llevaban al exploit. Los correos electrónicos y los URLs se diseñaron para aparentar que llevaban a información sobre temas de actualidad.

Operation Pawn Storm es una campaña constante. Consulte los desarrollos sobresalientes y cómo su organización puede protegerse contra Pawn Storm en la infografía adjunta.

Infografía:

OPERATION PAWN STORM

¿Qué es Operation Pawn Storm?

Es una operación activa de espionaje cibernético económico y político que ataca a una amplia gama de organizaciones de alto perfil, desde instituciones gubernamentales hasta personalidades de los medios de comunicación.

OBJETIVOS

EEUU y sus aliados

Organismos de gobierno, defensa y medios de comunicación de Estados Unidos

OTAN

La OTAN y sus estados miembros

Ucrania

Activistas, medios, el ejército y el gobierno de Ucrania

Rusia

Disidentes rusos/oponentes políticos del Kremlin, artistas, medios, desarrolladores de software

Otros gobiernos

Gobiernos de Europa, Asia y del Medio Oriente.

VECTORES DE ATAQUE

CORREOS DE SPEAR PHISHING

PHISHING DE CREDENCIALES

iFRAMES MALICIOSOS

También se descubrió que las aplicaciones iOS se han utilizado como un vector de ataque en por lo menos una de las campañas de Pawn Storm. 

HERRAMIENTAS, TÁCTICAS Y PROCEDIMIENTOS (TTPs)

SEDNIT: Malware diseñado para penetrar la defensa del objetivo, continúa siendo persistente, y captura tanta información como puede

Páginas falsas de inicio de sesión en Outlook Web Access (OWA) para el phishing de credenciales

Exploits para las siguientes vulnerabilidades: CVE-2010-3333, CVE-2012-0158, CVE-2013-1347, CVE-2013-3897, CVE-2014-1761, CVE-2014-1776, CVE-2015-2590, CVE-2015-4902, CVE-2015-7645

ACTIVIDADES NOTABLES

JUN 2014

Sitios polacos comprometidos hostearon exploits que propagaron el malware SEDNIT

SEPT

Proveedor de combustible nuclear de Estados Unidos, instituciones militares y de defensa atacados en Estados Unidos y Europa a través de inicio de sesión falso de OWA

DIC

Cuentas corporativas de 55 empleados de un importante periódico de Estados Unidos son atacadas a través de una cuenta comprometida de un corresponsal militar de ese país.

ENE 2015

Tres populares bloggers de YouTube son afectados a través de un ataque de phishing en Gmail cuatro días después de que entrevistaran al Presidente Obama

FEB

Aplicaciones IoS maliciosas utilizadas para el espionaje. También el enlace de la ONU atacado con la página falsa de OWA

ABRIL

Ataques lanzados contra miembros de la OTAN a través de correos electrónicos de spear phishing

La estación de la televisión francesa, TV5Monde, es atacada, lo que provocó que varios canales globales salieran del aire durante un tiempo.

MAYO

Computadoras comprometidas del German Bundestag usando malware que robaba información

JULIO

Trend Micro descubre que se utiliza una nueva explotación de día-cero de Java

AGO

Campaña nacional de programa de espionaje revela que Ucrania, Estados Unidos y las esposas de oficiales norteamericanos son objetivos globales

SEPT

Grupos sirios de oposición atacados a través de ataques de phishing avanzados; el Equipo de Investigación Institucional MH17 es atacado

OCT

Ministerios de relaciones exteriores atacados usando nueva vulnerabilidad de día-cero de Adobe Flash

PROTEJA SU ORGANIZACIÓN CONTRA PAWN STORM

TREND MICRO NETWORK DEFENSE

Deep Discovery Inspector ofrece motores de detección especializados y sandboxes a la medida que identifican, analizan y monitorean todo el tráfico para detectar todos los aspectos de un ataque dirigido.

Deep Discovery Email Inspector identifica y bloquea correos electrónicos de spear phishing al agregar una capa de inspección transparente que descubre contenido, archivos y URLs maliciosos

Endpoint Sensor registra y reporta las actividades detalladas al nivel del sistema para permitir que los analistas de amenazas evalúen rápidamente la naturaleza y ámbito de un ataque.

TREND MICRO USER PROTECTION

Combine la gama más amplia de capacidades de protección de endopoints contra amenazas móviles con varias capas de colaboración de correo electrónico, y seguridad en gateways.

Posted

in

by

Trend Micro

Tags:

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.