Termita Azul, el ciberespionaje se dirige hacia las organizaciones japonesas
Tras la infección se despliega en el equipo un sofisticado backdoor que es capaz de robar contraseñas, descargar y ejecutar la carga útil adicional, recuperar archivos, etc, según Kaspersky Lab.
La campaña de ciberespionaje Termita Azul ha estado al menos dos años espiando la información confidencial de cientos de organizaciones en Japón. Un exploit zero-day en Flash Player y un sofisticado backdoor que se personalizaba para cada víctima era la puerta de entrada de los ciberatacantes. Se trata de la primera campaña descubierta por Kaspersky Lab que se centra de forma exclusiva en objetivos japoneses, y que aún activa.
La lista de objetivos incluye organizaciones no gubernamentales, industria pesada, química, sector financiero, medios de comunicación, organizaciones educativas, sanitarias, la industria de alimentos y otros.
Para infectar a sus víctimas, según Kaspersky Lab, Termita Azul utiliza varias técnicas. Antes de julio de 2015, para la mayoría de los ataques se utilizaba spear-phishing emails. Sin embargo, en julio cambiaron de táctica y comenzaron a difundir malware a través de un exploit Flash zero-day (CVE-2015-5119, el exploit se filtró por el incidente de Hacking Team a principios de este verano). Los ciberdelincuentes han comprometido varios sitios web japoneses y los visitantes de estas webs se descargaban automáticamente un exploit que infectaba el equipo. Esto se conoce como la técnica drive-by-download.
La implementación de un exploit zero-day dio lugar a un aumento significativo en la tasa de infección registrada por los sistemas de detección de Kaspersky Lab a mediados de julio. Uno de los sitios web comprometidos, perteneciente a un miembro del gobierno japonés y otra persona, contenía un script malicioso que filtraba a los visitantes según las direcciones IP para centrarse en los que entraban desde la IP de una organización japonesa concreta. En otras palabras, solo los usuarios elegidos recibían la carga maliciosa.
Tras la infección con éxito, se despliega en el equipo un sofisticado backdoor que es capaz de robar contraseñas, descargar y ejecutar la carga útil adicional, recuperar archivos, etc. Una de las cosas más interesantes de Termita Azul es que se suministra a cada víctima una muestra de malware único, creado para lanzarse en un PC específico.
La pregunta de quién está detrás de este ataque sigue sin respuesta. Como de costumbre, la atribución es una tarea muy complicada cuando se trata de ciberataques sofisticados. Sin embargo, los analistas de Kaspersky Lab han podido recoger algunas muestras de lenguaje. En particular, la interfaz gráfica de usuario del servidor de comando y control, así como algunos documentos técnicos relacionados con el malware utilizado en la operación están escritos en chino. Esto podría significar que los actores que están detrás de la operación hablan este idioma.
Como la operación todavía está en curso, la investigación de Kaspersky Lab también continúa. "En Japón sigue siendo un problema, desde principios de junio, cuando se informó al Servicio de Pensiones de Japón del ciberataque, diversas organizaciones japonesas comenzaron a implementar medidas de protección. Sin embargo, los ciberatacantes, podrían haber mantenido una estrecha vigilancia sobre ellos y comenzaron a emplear nuevos métodos de ataque que amplió con éxito su impacto", ha afirmado Vicente Díaz, analista principal en Kaspersky Lab.
