Atacan a la OTAN y Ucrania a través del exploit Sandworm para Windows

0

El malware Sandworm ataca a Ucrania y la OTAN

El laboratorio iSight ha desvelado recientemente una campaña de ataques dirigidos contra la OTAN, Ucrania y ciertas industrias, utilizando para ello un exploit Zero Day para sistemas Windows.

Exploit Zero Day en Windows

Un ataque Zero Day es aquel que, por su reciente aparición o por haber pasado inadvertido, es aprovechado por los atacantes antes de que existan contramedidas o documentación que indique su existencia. La industria de las Telecomunicaciones y Energía europeas, junto con la OTAN, la UE y por supuesto Ucrania han estado sufriendo las consecuencias esta semana.

En una entrada en su blog iSight nos informa de su colaboración estrecha con Microsoft para cerra el problema lo antes posible, pues la vulnerabilidad afecta a todas las versiones de Windows y versiones Windows Server 2008 y 2012. 

Conociendo a Sandworm

Como toda amenaza de las TI que se precie, ha sido bautizada con un nombre más mundano: “Sandworm” o gusano de arena. Sin embargo su nombre oficial según el organismo internacional que registra las vulnerabilidades es CVE-2014-4114. Microsoft ha preparado un parche correctivo urgente para taponar esta brecha de seguridad, disponible en los recién publicados boletines de los martes.

Propósito y método asociados a CVE-2014-4114

Este exploit ha formado parte de una campaña de ciber-espionaje que lleva activa 5 años, según han investigado en iSight. Hablan de anteriores actividades del “Equipo Sandworm” (en alusión, creemos, a la escenografía de la serie de ficción Dune) rastreadas desde el año 2013, aunque con indicios claros de haber comenzado mucho antes, posiblemente 2009.

Sandworm ha aprovechado técnicas de SpearPhishing para atacar a la UE, la OTAN y otros organismos

El propósito claro de estos ataques es “espionaje de alto nivel” -hablamos de jefes de estado o personalidadesinfluyentes en política o negocios, junto a organismos estatales e industrias- y el método utilizado suele estar basado en ingeniería social y ataques de Spear Phishing (engaño a través de suplantación de indentidad), significando “Spear” que son ataques acotados a un público concreto, no lanzados al público general “sin más”.

El Kit de Exploit (crimeware) BlackEnergy sería el mecanismo conductor de los ataques, junto claro está a los fallos aprovechables en el sistema operativo Windows.

Llevaría activo desde hace más de un año, en forma principalmente de presentaciones PowerPoint alteradas con spyware (de amplio consumo entre altos cargos y directivos).

Ataques continuados contra la UE

iSight pone de manifiesto que esto es la continuación de una oleada de ataques inintemrrumpidos desde hace meses, con objetivos que incluyen EEUU y Europa y sus diferentes organismos políticos y militares. También se han registrado ataques contra medios de información y contratistas de ministerios de Defensa (además de yihadistas y rebeldes en Chechenia). 

Actividades relacionadas con Sandworm desde el 2009

Como todo es alterado por las circunstancias del momento, en los últimos meses se ha trasladado el foco hacia el conflicto entre Rusia y Ucrania. Se han encontrado pruebas de ataques relacionados con industrias energéticas e instituciones políticas, mediante similares mecanismos de Phishing.

Microsoft ha estado trabajando junto con iSight y los respectivos gobiernos afectados para solucionar los fallos Zero Day que permiten la ejecución de código remoto en dispositivos afectados. Consultad los últimos parches de Microsoft aquí.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR