Hacker chino utiliza un troyano para robar los secretos de 48 compañías químicas y de defensa


Un malware distribuido por un hacker chino infectó las computadoras de 29 empresas de la industria química y 19 de otras áreas, principalmente de la defensa, en por lo menos veinte países, incluyendo a la Argentina.

Localización geográfica de las computadoras infectadas por el malware.

 

Según la compañía de seguridad informática Symantec, el virus, conocido como “PoisonIvy”, fue utilizado de julio a septiembre de este año para robar información secreta de firmas involucradas en la investigación, desarrollo y elaboración de químicos y materiales avanzados distribuidas en distintas partes del mundo, aunque la mayoría de ellas de origen estadounidense.

La empresa señaló que el objetivo de esta campaña de ataque era adueñarse de documentos de diseño, fórmulas y detalles sobre los procesos de fabricación de productos. También informó que las investigaciones permitieron rastrear y localizar el origen del ataque en un servidor privado virtual (VPS) en los Estados Unidos que era propiedad de un hombre de unos 20 años en la provincia de Hebei en el norte de China.

El hacker fue identificado con el nombre clave de “Covert Grove”, aunque Symantec no pudo determinar aún si el mismo actuó por su cuenta o si realizó el ataque por mandato de otro o de otros.

Durante la investigación también se halló evidencia de que los servidores  de “Comando y Control” ( C&C ) que se usaron para controlar y explotar los datos de esta campaña también se utilizaron en los ataques contra grupos de derechos humanos desde fines de abril hasta principios de mayo, y en los ataques a la industria del automóvil a finales de mayo, según el comunicado de Symantec .

Cómo se distribuyó el malware

Como ya se dijo, campaña de ataque viral- que fue bautizada con el nombre clave de “Nitro”- se inició a fines de julio de este año y se prolongó por casi dos meses.

Lo primero que hizo el o los hackers fue investigar a las empresas que iban a ser blanco de ataque, para posteriormente enviar a las mismas un correo electrónico con destinatario específico.

Por lo general,  se destacaron dos metodologías para engañar a los empleados receptores de los mensajes de correo. En primer lugar, cuando un destinatario específico era atacado, los correos a menudo pretendían ser invitaciones a reuniones de socios de negocios establecidos.

En segundo lugar, cuando los correos electrónicos fueron enviados a un conjunto más amplio de destinatarios, los mails simulaban ser una actualización de seguridad necesaria, como puede verse en la siguiente imagen:

Los correos electrónicos contenían un archivo adjunto o un ejecutable que parecía ser un archivo de texto basado en el nombre del archivo y el icono, o un archivo protegido por contraseña que contiene un archivo ejecutable con la contraseña proporcionada en el correo electrónico.

En ambos casos, se trataba de un archivo ejecutable autoextraíble que en realidad contenía al troyano del tipo CAT “PoisonIvy”, de forma que cuando el destinatario intentaba abrir el archivo adjunto, el malware se instalaba sin que el usuario se diera cuenta.

Una vez instalado en el ordenador, “PoisonIvy” contactaba a un servidor C&C empleando un protocolo de comunicación encriptada,  permitiendo que los hackers pudieran irrumpir en el ordenador y acceder a la dirección IP del computador infectado, los nombres de todas las demás máquinas en el grupo de trabajo o dominio y los depósitos de los hashes de contraseñas de Windows almacenadas en caché.

 

 




Ruben

Rubén es editor del sitio desde el año 2010. Colabora regularmente escribiendo noticias sobre tecnología, software, negocios, gadgets y ciencia. Sus intereses son Tecnología y Relaciones internacionales, tópico con el que también colabora en otros medios de publicación web.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *