¿Qué pasa cuando un ciberdelincuente ataca a otro? Nueva modalidad en las guerras APT

Es probable que antes no te hayas preguntado: ¿Es posible que un grupo dirija un ciberataque a otro grupo de ciberdelincuentes? Se trataría de un conflicto raro e inusual pero Kaspersky Lab ha registrado tal ejemplo. Sus protagonistas son Hellsing y Naikon.

En 2014, Hellsing, un pequeño y técnicamente mediocre grupo de ciberespionaje dirigido principalmente a organizaciones gubernamentales y diplomáticas en Asia, fue sometido a un ataque de « phishing» por parte de otro actor. Entonces, decidió contraatacar.

Según el Instituto Nacional de Tecnologías de la Comunicación (Inteco), desde hace unos años el mundo de la seguridad ha acuñado un nuevo término: las «Amenazas Persistentes Avanzadas» o, por sus siglas en inglés, APTs («Advanced Persistent Threats»).

Se trata de un tipo de riesgos de ciberseguridad de mayor gravedad a los habituales pues, en principio, poseen características que hacen que sus efectos sean mucho más dañinos: son capaces de perdurar en el tiempo (infectando una máquina), poder aprovecharse de vulnerabilidades desconocidas oficialmente (lo que las hace pasar desapercibidas) y, sobre todo, tratarse de amenazas dirigidas contra un objetivo muy específico (habitualmente los recursos de una compañía).

El principal fin de este tipo de ataques es el espionaje, principalmente empresarial, gubernamental y militar, obteniendo y manipulando información contenida en sus sistemas, más que atacando a objetivos físicos. En definitiva, se trata de comprometer la seguridad de una red de ordenadores para conseguir información sensible.

Kaspersky Lab descubrió, durante la investigación de Naikon, otro grupo de ciberespionaje también dirigido organizaciones de la región Asia-Pacífico, que uno de los objetivos de Naikon había descubierto el intento de infectar sus sistemas con un correo electrónico de «phishing» que llevaba un archivo malicioso adjunto. Así, el receptor (objetivo de los ciberdelincuentes), que puso en duda la autenticidad del correo electrónico y no abrió el archivo adjunto. Decidió reenviar de vuelta al remitente un correo electrónico que contenía el « malware» recibido.

El método de contraataque, según Kaspersky Lab, indica que Hellsing quiso identificar al grupo Naikon y reunir información sobre el mismo. Un análisis más profundo de Hellsing revela un rastro de correos electrónicos «phishing» lanzados con archivos adjuntos maliciosos diseñados para propagar «malware» destinado al espionaje entre diferentes organizaciones.

Si la víctima abría el archivo adjunto malicioso, su sistema se infectaba con un «backdoor» personalizado capaz de descargar y cargar archivos, actualización y desinstalación de sí mismo. Según las observaciones de Kaspersky Lab, el número de organizaciones atacadas por Hellsing es de unas 20.

«El objetivo del ataque de Hellsing a Naikon en una especie de venganza-cacería estilo 'Empire Strikes Back' y es fascinante», explica Costin Raiu, director del GREAT de Kaspersky Lab. «En el pasado -continua-, hemos visto grupos APT atacarse accidentalmente entre sí mientras robaban libretas de direcciones de las víctimas y luego enviaban correos masivos a todos ellos. Sin embargo, teniendo en cuenta la orientación y el origen del ciberataque, parece más que probable que este sea un ejemplo de un ataque APT-on-APT deliberado».

La compañía ha detectado y bloqueado el software malicioso Hellsing en Malasia, Filipinas, India, Indonesia y EE.UU, estando la mayoría de las víctimas localizadas en Malasia y Filipinas