Un grupo de hackers establecido en China detrás de cientos de ataques a compañías americanas
El grupo de hackers mercenarios Hidden Lynx es más sofisticado que muchos otros, incluyendo la utilización de malware para fallos de Día Cero, según Symantec.
Entre 50 y 100 hackers profesionales que operan desde China, ha estado sistemáticamente atacando empresas, agencias del gobierno y militares de todo el mundo desde al menos 2009, ha informado la empresa de seguridad Symantec en un informe.
El grupo, llamado Hidden Lynx, se cree que está conectado con la campaña de espionaje Operación Aurora, de 2010, que tuvo como objetivo docenas de grandes compañías, incluyendo Google y Microsoft. Más recientemente, ha estado asociado con el ataque a la empresa de seguridad Bit9 a principios de este año, y también con numerosos ataques contra cientos de organizaciones en los Estados Unidos.
El grupo tiene una larga historia de ataques a organizaciones en la industria de defensa, el sector de servicios financieros, educación, gobierno y sector de ingeniería, ha destacado Symantec en su informe. Más de la mitad de los ataques ha sido contra compañías basadas en Estados Unidos, pero el grupo ha tenido objetivos en otros países también.
Lo que hace a Hidden Lynx especial es su acceso a un arsenal aparente de sofisticadas herramientas de malware, que incluye vulnerabilidades de Día Cero, ha afirmado Kevin Haley, director de Symantec Security Response. Las herramientas incluyen una denominada Trojan.Naid que el grupo reserva aparentemente para su uso contra objetivos de gran valor, como los de la Operación Aurora. Otro, apodado Backdoor Moudoor, se utiliza en campañas de ataques más genéricas.
Hakey ha dicho que miembros de Hidden Lynx aparecen organizados imprecisamente en dos grupos: un equipo A, compuesto de un número relativamente pequeño de piratas informáticos de élite, con acceso a herramientas sofisticadas como Trojan.Naid, y un equipo B, compuesto principalmente de soldados de a pie y que es responsable de desarrollar grandes ataques utilizando Backdoor Moudoor y herramientas similares.
Los piratas de élite se utilizan generalmente para operaciones especiales que implican un alto nivel de pericia y discreción, ha destacado Haley. Este grupo aparece que tiene conocimiento avanzado y acceso a información de nuevas vulnerabilidades de Día Cero.
El informe de Symantec ha señalado un incidente a principios de año donde el grupo de Hidden Lynx utilizó un conocimiento avanzado de una vulnerabilidad Día Cero de Oracle para atacar objetivos en Japón.
Uno de los aspectos más destacados del grupo es su aparente habilidad de resolución de problemas, ha subrayado Haley. En situaciones donde miembros de Hidden Lynx no han podido penetrar directamente un objetivo, han buscado otras formas de acceso buscando y explotando suministradores vulnerables, partners o suministradores de servicios.
Como ejemplo ha señado el ataque a Bit9 a principios de año en el cual Hidden Lynx pudo obtener acceso a la infraestructura de firma de código digital de Bit9. El grupo pirata lo utilizó para firmar un total de 32 troyanos y códigos maliciosos, que utilizó entonces para infiltrarse en otras compañías, incluyendo un gran suministrador de defensa, utilizando los servicios de seguridad de Bit9.
La mayor parte de la infraestructura y herramientas utilizadas en los ataques por Hidden Lynx parecen estar alojados en China. Según Haley, no hay suficiente evidencia que sugiera que Hidden Lynx esté apoyada por un estado. De hecho, algunas de las víctimas de los ataques del grupo parecen estar también basadas en China.
Más bien, los miembros de Hidden Lynx parecen ser más mercenarios. La amplia gama de compañías e información que han elegido como objetivo en el pasado, sugiere que el grupo simplemente ejecuta tareas en nombre de clientes de pago. “Parecen estar encargados de obtener información muy específica que puede ser utilizada para obtener ventajas competitivas tanto a nivel corporativo como a nivel nacional”, ha descrito el informe de Symantec.
Hidden Lynx en sí no parece que esté utilizando ninguna de la información que roba, dice Symantec. Su modo de operación sugeriría que pueden ser una organización privada de “hackers mercenarios”, altamente cualificados y cuyos servicios están disponibles para aquellos que quieran pagarlos.
