Volatile Cedar, campaña de ciberespionaje a través de malware local
Grupos políticos de Líbano parecen estar detrás de la operación que han descubierto los investigadores de Check Point.
- Las medidas de seguridad de la Internet de las cosas son insuficientes
- La mitad de los desarrolladores móviles no invierte en seguridad
- Las empresas siguen sufriendo pérdidas de datos pese a las copias de seguridad
- El estado de la seguridad en los sistemas de Código Abierto
- Aspectos que impactarán en la seguridad de las empresas en el corto plazo
Investigadores del Grupo de Malware y Vulnerabilidades de Check Point han descubierto una campaña de de ataques llamada Volatile Cedar, que utiliza malware local con nombre en código Explosive y podría tener su origen en Libano. La campaña ha estado activa desde comienzos de 2012 y habría penetrado con éxito en un gran número de objetivos de todo el mundo, monitorizando las acciones de sus víctimas y robando numerosos datos.
“Volatile Cedar es una campaña de malware que ha estado activa continuamente y con éxito durante años, evadiendo su detección mediante una operación bien planificada y cuidadosamente gestionada que monitoriza constantemente las acciones de sus víctimas y responde rápidamente ante incidentes de detección como la activación de un antivirus", ha explicado Dan Wiley, director del área de Respuesta ante Incidentes e Inteligencia de Amenazas de Check Point. "Esta es sólo una de las caras del futuro de los ataques dirigidos: malware que mira en silencio una red, robando datos, y puede cambiar rápidamente si es detectado por un antivirus”.
Las organizaciones que han confirmado estar afectadas, de momento, incluyen contratistas de defensa, empresas de telecomunicaciones, medios de comunicación e instituciones educativas. La naturaleza de los ataques y las repercusiones asociadas sugieren que los motivos de los atacantes no son financieros, sino que habrían tenido como objetivo extraer información sensible de las víctimas.
La campaña Volatile Cedar está muy bien dirigida y administrada, y sus objetivos han sid cuidadosamente elegidos, limitando su actividad al mínimo necesario para lograr sus objetivos, reduciendo así también al mínimo el riesgo de exposición. Desde 2012 se han registrado diferentes versiones, ya que el malware cambia ante intentos de detección.
Los atacantes se han dirigido inicialmente a servidores web de cara al público, con ataques tanto automáticos como manuales. Tras lograr el control sobre un servidor, éste es utilizado como “punto de pivotaje” para explorar, identificar y atacar objetivos adicionales ubicados en puntos más profundos de la red. Se han detectado hackeo manual online, así como mecanismos automatizados de infección vía USB.
