McAfee ha anunciado en el marco del MPOWER 2018 el resultado de una investigación que ha descubierto una nueva campaña de espionaje cibernético cuyos objetivos eran Corea del Sur, Estados Unidos y Canadá.
La nueva campaña utiliza un implante de reconocimiento de datos usado por última vez en 2010 por el grupo de piratas informáticos APT1, o Comment Crew, un grupo chino paramilitar acusado de lanzar ciberataques a más de 141 empresas estadounidenses entre 2006 y 2010.
Los actores de esta nueva campaña no han sido identificados. Sin embargo, reutilizaron el código de los implantes vistos en Comment Crew en el 2010, que atacó a los Estados Unidos en una operación llamada Seasalt. La nueva campaña, que McAfee ha denominado Operación Oceansalt, se basa en su similitud con esta.
El informe, “La Operación Oceansalt que ataca a Corea del Sur, Estados Unidos y Canadá con código fuente de un grupo de hackers chino”, sugiere que el desarrollo del implante Oceansalt no habría sido posible a menos que los autores tuvieran acceso directo al código fuente Seasalt de Comment Crew del 2010. Sin embargo, el equipo de Investigación de Amenazas Avanzadas de McAfee no encontró pruebas de que el código fuente de Comment Crew se haya hecho público, lo que plantea la cuestión de quién es el responsable de Oceansalt.
McAfee descubrió que Oceansalt se lanzó en cinco oleadas de ataque adaptadas a sus objetivos. Las dos primeras se basaron en spearfishing y comenzaron con un documento malicioso de Microsoft Excel en coreano creado y guardado en mayo de 2018, que actuaba como el descargador del implante. El archivo Excel, creado por un usuario llamado “Lion”, contenía información que lleva a McAfee a creer que los objetivos estaban relacionados con proyectos de infraestructuras públicas de Corea del Sur. Una tercera ronda de documentos maliciosos, esta vez en Microsoft Word, contenía los mismos metadatos y el mismo autor que los documentos de Excel. El documento de Word contenía información falsa relacionada con las finanzas del Fondo de Cooperación Intercoreano. La cuarta y quinta oleada estaban dirigidas a los Estados Unidos y Canadá, a medida que los atacantes ampliaban el alcance.
El documento de Word contenía información falsa relacionada con las finanzas del Fondo de Cooperación Intercoreano
En cuanto a las implicaciones y el impacto, estos ataques pueden ser precursores de un ataque mucho mayor dado el control que los atacantes tienen sobre sus víctimas. Oceansalt da a los atacantes el control total de cualquier sistema que logren comprometer y la red a la que está conectado. Teniendo en cuenta la colaboración potencial con otros autores de amenazas, hay muchos más activos abiertos y disponibles sobre los que actuar.
“Esta investigación demuestra que los autores de las amenazas están continuamente aprendiendo unos de otros y mejorando sus innovaciones,” apuntó Raj Samani, Investigador Jefe en McAfee.“El responsable último del ataque Oceansalt no está publicitándolo, pero si haciéndolo real. McAfee se centra en los indicadores de compromiso, presentados en este informe, para detectar, corregir y proteger sistemas, independientemente de la fuente de estos ataques.”