Codenamed Sowbug: Sudamérica bajo ataque

Josep Verdura - Analista de Seguridad de Vintegris

Josep Verdura – Analista de Seguridad de Vintegris

Un grupo de piratería informática y espionaje desconocido que ha estado en operación desde al menos 2015 ha llevado a cabo una serie de ataques dirigidos contra una serie de organizaciones gubernamentales en América del Sur y el sudeste asiático para robar sus datos confidenciales.

Codenamed Sowbug, el grupo hacker ha sido expuesto por investigadores de seguridad de Symantec, quienes descubrieron que el grupo realizaba ataques clandestinos contra instituciones de política exterior, organismos gubernamentales y objetivos diplomáticos en países como Argentina, Brasil, Ecuador, Perú y Malasia.

El análisis de Symantec descubrió que el grupo de piratería Sowbug usa una pieza de malware llamada “Felismus” para lanzar sus ataques e infiltrarse en sus objetivos.

Identificado por primera vez a fines de marzo de este año, Felismus es una pieza sofisticada y bien escrita de acceso remoto Trojan (RAT) con una construcción modular que permite que el troyano de la puerta trasera oculte y / o amplíe sus capacidades.

El malware permite a los actores malintencionados tomar el control completo de un sistema infectado y, como la mayoría de las RAT, Felismus también permite a los atacantes comunicarse con un servidor remoto, descargar archivos y ejecutar comandos de shell.

Mediante el análisis de Felismus, los investigadores pudieron conectar campañas de ataque previas con el grupo de piratería Sowbug, lo que indica que había estado activo desde al menos principios de 2015 y puede haber estado operando incluso antes.

“Hasta la fecha, Sowbug parece enfocarse principalmente en entidades gubernamentales en América del Sur y el Sudeste Asiático y se ha infiltrado en organizaciones en Argentina, Brasil, Ecuador, Perú, Brunei y Malasia”, dijo el informe de Symantec.

“El grupo tiene muchos recursos, capaz de infiltrarse en múltiples objetivos simultáneamente y, a menudo, operará fuera del horario de trabajo de las organizaciones objetivo”.

Aunque todavía no está claro cómo los piratas informáticos Sowbug lograron afianzarse en las redes de computadoras, la evidencia reunida por los investigadores sugirió que los piratas informáticos han utilizado actualizaciones de software falsas y maliciosas de Windows o Adobe Reader.

Los investigadores también descubrieron que el grupo utilizó una herramienta conocida como Starloader para desplegar malware y herramientas adicionales, como volcadoras de credenciales y registradores de pulsaciones, en las redes de las víctimas.

 

 

Josep Verdura – Analista de Seguridad de Vintegris