La empresa de seguridad CiberX acaba de dar a conocer los resultados de una investigación que apunta a uno de los hackeos más grandes y sofisticados del último año. La operación bautizada como BugDrop atacó alrededor de 70 objetivos, de donde se destacan industrias, compañías de infraestructura, investigadores científicos, y hasta periodistas y medios de comunicación, la mayoría de estos con sede en Ucrania.
Se cree que BugDrop logró obtener más de 600 GB de datos entre los que se encontraban grabaciones de audio, capturas de pantalla, documentos y contraseñas. Todo esto se realizó mediante archivos maliciosos de Microsoft Word, quienes después de robar la información la subían a Dropbox, para posteriormente ser recuperada por los atacantes.
Micrófonos, Word y Dropbox
Según CiberX, BugDrop no fue tarea de una sola persona, se trata de una operación bien organizada que se apoya en malware sofisticado y que necesita de recursos para lograr sus objetivo, por ello se cree que alguien con mucho poder y una gran infraestructura está detrás de todo esto.
Los blancos se infectaban primero por medio de un documento de Microsoft Word que era enviado por correo, archivo que al ser abierto mostraba lo que parecía una notificación oficial de Office: "Atención: el archivo se creó en una versión más reciente de programas de Microsoft Office. Debe habilitar macros para mostrar correctamente el contenido de un documento", cuando el usuario activaba macros el atacante tomaba control del ordenador.
Una vez que la máquina estaba infectada, se habilitaba de forma automática el micrófono para grabar todas las conversaciones que sucedían a su alrededor, y posteriormente todos estos clips de audio eran subidos a Dropbox. Además de esto, la máquina se programaba para hacer capturas de pantalla en ciertos periodos de tiempo, y cuando el usuario guardaba una copia de algún archivo, ésta también se guardaba en la carpeta de Dropbox.
La operación contaba con una gran infraestructura back-end para almacenar, descifrar y analizar cientos de datos diarios, donde había una participación importante de personas quienes eran los responsables de ordenar manualmente los datos capturados y procesarlos para su posterior análisis.
Se cree que la operación ha estado activa desde junio de 2016, robando información principalmente de Ucrania, pero también se han detectado ataques a ordenadores en Rusia, Arabia Saudita y Austria. Lo novedoso de este tipo de operación es que han usado plataformas gratuitas y que difícilmente son bloqueadas en las empresas, como el caso de Dropbox que se ha vuelto una herramienta ampliamente usada en todo el mundo, que no se bloquea ni se supervisa por los firewalls corporativos.
Otros elementos usados en esta operación han sido DLLs que instalaban el malware, que a su vez instalaban DLLs cifrados, esto con el objetivo de pasar desapercibidos ante los antivirus o análisis de otros programas. Pero la parte más interesante y que no ha permitido dar con los responsables, ha sido el uso de hosting gratuito, que es donde se han instalado los programas de control y comando.
CiberX desconoce el origen de este ataque y el destino de la información robada, sólo mencionan que se trata de una sofisticada implementación de malware a gran escala, donde se necesita una gran cantidad de gente para su análisis diario. Por lo anterior, han llegado a la conclusión de que se trata de alguien con amplia experiencia en el sector y que sabe bien cómo trabajar de forma anónima y borrar cualquier tipo de rastro.
Más información | CiberX
En Xataka | Cómo llegar a ser un hacker: varios expertos en seguridad nos lo cuentan
Ver 8 comentarios
8 comentarios
lex10s
El timo de la estampita, un documento recibido por mail que te pide activar las macros con un mensaje falso, me lo dicen hace 20 años y pasa, pero que a día de hoy todavía los mayores robos de datos sean así, tiene tela.
ilwp
me alegra ver los comentarios de la gente.
A ver si vamos diferenciando "Bugs" reales de la estupidez humana.
ME pare increíble o incluso vergonzoso que se asocie la palabra "BUG" con este cuento que nos han montado.
Si que me creo que hay alguien my poderoso detrás de todo esto, pero no del ataque, si no de la publicación y difusión del mismo.
Poca o ninguna vergüenza hay que tener para haciéndote llamar experto en seguridad asocies la palabra BUG. con Microsoft Word cuando es un archivo de macros que te pasan por correo y te pide que las habilites.
Entonces si te pido al tarjeta y el pin y luego te robo es un fallo de seguridad de "Visa" por decir algo?
Que pena de ver estos intentos de desprestigiar X marca cuando es el usuario el que esta dando permiso para que te roben.
Flycow
Vaya película de espías han montado.
tuadmin
es fasil usar hostings gratuitos automaticamente,y que estos envien lo que reciben a otro y otro haciendo una pasarela dificil de seguir el rastro,pero lo primordial el usuario dio el concentimiento para ejecutar el virus
Usuario desactivado
En cualquier empresa (empezando por la mía, y es de IT), el 95% de los empleados que trabajan delante de un ordenador hubiese picado, sobre todo el personal administrativo.
Es sorprendente, pero muchas personas pasan su jornada laboral trabajando delante de algo que no terminan de entender como funciona, abren 4 programas y hacen sus tareas sin molestarse en ir más allá.