La campaña de phishing submarino por correo electrónico, orientada a entidades gubernamentales en Ucrania podría haber estado activa ya en 2014, según FireEye.
En una entrada de blog publicada el 16 de abril de 2019, FireEye Threat Intelligence encontró el último correo electrónico de pesca submarina a principios de 2019, que incluía un “archivo LNK malicioso” con script PowerShell para descargar la carga útil de la segunda etapa desde el servidor de mando y control (C&C). El correo electrónico fue recibido por los departamentos militares de Ucrania e incluía contenido de señuelos relacionados con la venta de máquinas de desminado.
Según FireEye, “esta última actividad es una continuación del phishing submarino que apuntaba al Gobierno ucraniano ya en 2014”. La compañía también escribió que el análisis de la infraestructura indicaba que los actores detrás de la actividad de intrusión podrían estar asociados con la llamada República Popular de Luhansk (LPR).
El correo electrónico, enviado el 22 de enero de 2019, usaba el asunto “SPEC-20T-MK2-000-ISS-4.10-09-2018-STANDARD”, y el remitente fue forjado como Armtrac, un fabricante de defensa en el Reino Unido. Un archivo adjunto incluía un paquete 7z con dos documentos benignos y un archivo LNK malicioso.
“Los tiempos de compilación indican que este actor, que se centró principalmente en Ucrania, puede haber estado activo desde al menos 2014”, dice el artículo en el blog. “Su actividad fue reportada por primera vez por FireEye Threat Intelligence a principios de 2018. Aumentaron gradualmente en sofisticación y aprovecharon tanto el malware personalizado como el de código abierto”.
La legislación ucraniana describe el llamado LPR como “territorio temporalmente ocupado” y su gobierno como una “administración ocupante de la Federación Rusa”, según FireEye.
“Aunque el ciberespionaje se utiliza regularmente como una herramienta de poder estatal, esta capacidad no se limita a los estados”, dijo John Hultquist, director de análisis de FireEye. “De la misma manera que los nuevos actores estatales se sienten atraídos por esta práctica, muchos actores subestatales inevitablemente también desarrollarán capacidades, especialmente aquellos con los recursos de un estado patrocinador o con el control nominal del territorio.
“No es infrecuente que las operaciones nacientes, limitadas geográficamente, maduren con el tiempo y salgan de su región. Este ha sido el caso de varios actores a los que seguimos regularmente en Ucrania, donde las amenazas a las elecciones y a la industria se convirtieron en las operaciones que vimos durante las elecciones de 2016 y el evento de NotPetya”.
Con información de: Info Security Magazine.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian