La empresa de seguridad CiberX acaba de dar a conocer los resultados de una investigación que apunta a uno de los hackeos más grandes y sofisticados del último año. La operación bautizada como BugDrop atacó alrededor de 70 objetivos, de donde se destacan industrias, compañías de infraestructura, investigadores científicos, y hasta periodistas y medios de comunicación, la mayoría de estos con sede en Ucrania.
Se cree que BugDrop logró obtener más de 600 GB de datos entre los que se encontraban grabaciones de audio, capturas de pantalla, documentos y contraseñas. Todo esto se realizó mediante archivos maliciosos de Microsoft Word, quienes después de robar la información la subían a Dropbox, para posteriormente ser recuperada por los atacantes.
Micrófonos, Word y Dropbox
Según CiberX, BugDrop no fue tarea de una sola persona, se trata de una operación bien organizada que se apoya en malware sofisticado y que necesita de recursos para lograr sus objetivo, por ello se cree que alguien con mucho poder y una gran infraestructura está detrás de todo esto.
Los blancos se infectaban primero por medio de un documento de Microsoft Word que era enviado por correo, archivo que al ser abierto mostraba lo que parecía una notificación oficial de Office: "Atención: el archivo se creó en una versión más reciente de programas de Microsoft Office. Debe habilitar macros para mostrar correctamente el contenido de un documento", cuando el usuario activaba macros el atacante tomaba control del ordenador.
Una vez que la máquina estaba infectada, se habilitaba de forma automática el micrófono para grabar todas las conversaciones que sucedían a su alrededor, y posteriormente todos estos clips de audio eran subidos a Dropbox. Además de esto, la máquina se programaba para hacer capturas de pantalla en ciertos periodos de tiempo, y cuando el usuario guardaba una copia de algún archivo, ésta también se guardaba en la carpeta de Dropbox.
La operación contaba con una gran infraestructura back-end para almacenar, descifrar y analizar cientos de datos diarios, donde había una participación importante de personas quienes eran los responsables de ordenar manualmente los datos capturados y procesarlos para su posterior análisis.
Se cree que la operación ha estado activa desde junio de 2016, robando información principalmente de Ucrania, pero también se han detectado ataques a ordenadores en Rusia, Arabia Saudita y Austria. Lo novedoso de este tipo de operación es que han usado plataformas gratuitas y que difícilmente son bloqueadas en las empresas, como el caso de Dropbox que se ha vuelto una herramienta ampliamente usada en todo el mundo, que no se bloquea ni se supervisa por los firewalls corporativos.
Otros elementos usados en esta operación han sido DLLs que instalaban el malware, que a su vez instalaban DLLs cifrados, esto con el objetivo de pasar desapercibidos ante los antivirus o análisis de otros programas. Pero la parte más interesante y que no ha permitido dar con los responsables, ha sido el uso de hosting gratuito, que es donde se han instalado los programas de control y comando.
CiberX desconoce el origen de este ataque y el destino de la información robada, sólo mencionan que se trata de una sofisticada implementación de malware a gran escala, donde se necesita una gran cantidad de gente para su análisis diario. Por lo anterior, han llegado a la conclusión de que se trata de alguien con amplia experiencia en el sector y que sabe bien cómo trabajar de forma anónima y borrar cualquier tipo de rastro.
Más información | CiberX En Xataka | Cómo llegar a ser un hacker: varios expertos en seguridad nos lo cuentan
Ver todos los comentarios en https://www.xataka.com
VER 8 Comentarios