Home Ciberguerra Un actor de amenazas paquistaní ha estado espiando a entidades asociadas al...

Un actor de amenazas paquistaní ha estado espiando a entidades asociadas al gobierno indio durante, al menos, seis años

Un nuevo informe de Cisco Talos ha recopilado años de ciberespionaje realizado por un grupo al que llama “Cosmic Leopard”, bajo el título general “Operación Fuerza Celestial”. El Cosmic Leopard, con sede en Pakistán, se superpone pero aún sigue siendo distinto del actor de amenaza conocido como Transparent Tribe. Los ataques de Cosmic Leopard se centran en el espionaje y la vigilancia contra personas y organizaciones asociadas con el gobierno y los sectores de defensa de la India, así como empresas de tecnología relacionadas.

“Lo que estamos viendo son esfuerzos constantes y persistentes para infectar objetivos de interés y establecer un acceso a largo plazo”, dice Asheer Malhotra, investigador de extensión de Cisco. “Estoy bastante seguro de que los propios actores de amenazas no saben específicamente lo que están buscando. La intención aquí es obtener la mayor cantidad de datos posible, para poder analizarlos y luego resolverlos en un momento posterior. escenario.”

Los signos de actividad de Cosmic Leopard se remontan a 2016, cuando creó una versión para Windows de su troyano GravityRAT.

Desde entonces, dice Malhotra, “básicamente, hemos visto una evolución constante en todo lo que hacen”.

En 2019, por ejemplo, el grupo desarrolló su cargador de malware HeavyLift y versiones de Android de GravityRAT para apuntar a dispositivos móviles. MacOS también. “También hemos visto una evolución constante en las TTP [tácticas, técnicas y procedimientos] utilizadas por el actor de amenazas. Antes enviaban mensajes de phishing; ahora establecen conversaciones con las víctimas a través de canales de redes sociales. Al mismo tiempo, están creando una nueva infraestructura que pueden utilizar para superar la detección”, explica.

Primero, llega un correo electrónico de phishing o un mensaje de redes sociales que contiene un documento malicioso o, más a menudo, un enlace. El enlace parecerá un sitio web para descargar una aplicación legítima de Android que, de hecho, enmascara GravityRAT o HeavyLift.

GravityRAT es un troyano móvil bastante estándar pero potente. Puede leer y eliminar mensajes SMS, registros de llamadas y archivos, así como otra información del dispositivo: sobre la tarjeta SIM, el número de teléfono, el IMEI, el fabricante, el operador de red, la ubicación y más.

HeavyLift es un ejecutable disfrazado de instalador legítimo. Normalmente, instala tanto una aplicación señuelo inofensiva como una maliciosa en el dispositivo. El componente malicioso puede recopilar y filtrar una variedad de datos del sistema, descargar más cargas útiles y comprobar si se está ejecutando en una máquina virtual.

“HeavyLift tiene un componente que puede descargar y ejecutar malware adicional en el sistema de la víctima, pero también le brinda a la víctima la capacidad de cargar datos en la nube de los actores de la amenaza”, explica Malhotra. En algunos escenarios, el actor de la amenaza simplemente le informa a un objetivo a través de las redes sociales sobre su aplicación de almacenamiento en la nube. “El actor de la amenaza está siendo sincero al respecto. Dicen que se trata de una aplicación de almacenamiento en la nube, en la que puedes almacenar todos tus datos. Y una vez que el objetivo comienza a cargar todos sus datos, tiene acceso a ella, por lo que no No es necesario entrar y robarles”.

Funciona muy bien, dice el investigador principal de seguridad de Cisco, Vltor Ventura, porque “si vas al sitio, si pasas por la interfaz de usuario, está muy, muy bien hecho. Incluso mientras estábamos investigando el malware, parecía casi un software legítimo”. aplicación. Comenzó una discusión entre nosotros, como, OK, ¿esto es realmente malicioso o no?

Afortunadamente, evitar estos ataques en dispositivos móviles es simple: descargue software únicamente de tiendas de aplicaciones autorizadas (para Android, es Google Play). “A menos que el atacante utilice un día cero, o un día n si el sistema no está actualizado, esa es prácticamente la única manera de ingresar al ecosistema de Android”, señala Ventura.

Las computadoras con Windows carecen de esta solución simple, pero tienen una ventaja propia.

“Cuando piensas en Android, las organizaciones no tienen mucha visibilidad de lo que sucede en estos dispositivos. Es un entorno más difícil de controlar para las organizaciones. Con las computadoras portátiles, hay mejor visibilidad”, explica Ventura.

Con esa visibilidad adicional, las organizaciones pueden aplicar seguridad en capas para evitar que el clic descarriado de un empleado se convierta en un problema para toda la organización.

“Cuando las personas obtienen un vínculo o un archivo, quieren ver qué hay dentro”, dice. En lugar de negar la realidad, “tenemos que pasar al siguiente nivel y evitar que [la decisión] se convierta en algo mucho peor”.