Home Ciberguerra Ataques contra el sistema de inteligencia militar Delta, de Ucrania

Ataques contra el sistema de inteligencia militar Delta, de Ucrania

Las autoridades de seguridad de Ucrania han advertido al ejército del país de los intentos de poner en peligro un sistema clave de conocimiento de la situación, conocido como Delta.

Construido para ser compatible con los equipos de la OTAN, Delta “es un sistema para recopilar, procesar y mostrar información sobre las fuerzas enemigas, la coordinación de las fuerzas de defensa, así como proporcionar conocimiento de la situación”, según el ejército ucraniano.

Sin embargo, el CERT-UA recibió el fin de semana una notificación del Centro de Innovación y Desarrollo de Tecnologías de Defensa sobre un ataque de phishing dirigido al sistema.

Utilizando una cuenta de correo electrónico comprometida del Ministerio de Defensa y mensajes de phishing, los autores de la amenaza intentan persuadir a los destinatarios de que necesitan “actualizar” Delta para poder utilizarlo de forma segura.

El correo electrónico en cuestión contiene un archivo PDF malicioso adjunto que parece contener instrucciones sobre cómo hacerlo, junto con un enlace a un archivo ZIP malicioso.

Si un destinatario hace clic en el enlace, se descargará en su ordenador un archivo comprimido “certificates_rootca.zip” que contiene el archivo ejecutable “certificates_rootCA.exe” protegido por VMProtect, según CERT-UA.

“Tras ejecutar el archivo exe, se crearán en el PC varios archivos DLL, también protegidos por VMProtect, y un archivo ‘ais.exe’ que simulará el proceso de instalación del certificado”, añadió.

“Posteriormente, se lanzarán dos programas maliciosos en el ordenador de la víctima: FateGrab, cuya funcionalidad implica el robo de archivos … con su posterior exfiltración vía FTP, y StealDeal, diseñado, entre otras cosas, para robar datos del navegador de Internet.”

Aunque VMProtect es un software legítimo diseñado para proteger archivos conteniéndolos en una máquina virtual, en este caso, se utiliza con el propósito de ocultar los archivos maliciosos exe y DLL del análisis de las herramientas de seguridad.

CERT-UA no atribuyó el ataque, aunque actores de amenazas vinculados al Estado ruso serían una suposición obvia.

Con información de Info Security Magazine.