El grupo Sofacy resurge con nuevas herramientas

Sofacy, también conocido como “Fancy Bear”, “Sednit”, “Strontium” y “APT28”, es un grupo de amenazas avanzadas de habla rusa que ha estado activo desde al menos 2008, atacando a entidades en su mayoría militares y gubernamentales de todo el mundo. Desde que apareció en el radar público en 2014, el grupo no ha cesado en sus actividades, si bien los expertos de Kaspersky Lab han descubierto nuevas herramientas maliciosas aún más avanzadas en el arsenal de Sofacy.

Según el equipo de análisis en investigación global de Kaspersky Lab, los atacantes que hay detrás de Sofacy utilizan múltiples backdoors para infectar a un objetivo con varias herramientas maliciosas diferentes, una de los cuales sirve como herramienta de reinfección si otra llega a ser bloqueada o eliminada por una solución de seguridad. Además en muchos los ataques realizados este año, el grupo Sofacy hizo uso de una nueva versión de su implante de robo USB, lo que le permite copiar datos de los equipos comprometidos.

Lee tambien: Los 10 Grupos Hacker mas notorios de todos los tiempos

Los atacantes también utilizan modularización del malware, poniendo algunas prestaciones de los backdoors en módulos separados para ocultar mejor la actividad maliciosa en el sistema atacado. Esta es una tendencia cada vez más popular que Kaspersky Lab ha detectado en los ataques dirigidos.

"Por lo general, cuando alguien publica una investigación sobre un grupo de ciberespionaje, el grupo reacciona, bien deteniendo su actividad bien cambiando drásticamente sus tácticas y estrategia. Con Sofacy, no ha sido el caso. Le hemos visto lanzando ataques desde hace varios años y su actividad ha sido documentada por la comunidad de seguridad varias veces. En 2015 su actividad se incrementó significativamente, con el despliegue de no menos de cinco ataques de día cero, haciendo de Sofacy uno de los autores de amenazas más prolíficos, ágiles y dinámicos de la actualidad. Tenemos razones para creer que estos ataques continuarán", explica Costin Raiu, director de investigación y análisis global de Kaspersky Lab.

Hacking Team regresa con una nueva versión de su software de seguridad para gobiernos

adslzone.- Hacking Team es una compañía con sede en Italia que disponía de más de 400 GBytes. de información confidencial y que le fue robada a principios de este año. Pues bien, tras un parón acaba de reanudar sus operaciones y ha empezado a presentar nuevas y mejoradas herramientas para ayudar a diversos grupos gubernamentales a hacer cumplir la ley en torno al cifrado de la información.

Este grupo ha vuelto al mercado con un nuevo conjunto de herramientas de cifrado para que agencias gubernamentales así como otros clientes puedan romper las comunicaciones cifradas. El anuncio se produjo por medio de un correo electrónico enviado a diversos nuevos clientes y a otros ya existentes por el CEO de la firma, David Vincenzetti, donde ha confirmado que está ultimando nuevas e inéditas soluciones de investigación cibernética.

Para Hacking Team, la mayoría de las agencias gubernamentales en los Estados Unidos y otros países están prácticamente «ciegas» y no serán capaces de luchar contra fenómenos maliciosos como el terrorismo cibernético, por lo que solo las empresas privadas como ellos mismos podrán ayudar en este sentido. “Está claro que la actual administración estadounidense no tiene las herramientas para oponerse a los conglomerados de las empresas TI de América y aprobar algunas medidas impopulares pero que sin embargo son totalmente necesarias, por lo que pretenden cambiar las reglas del juego gracias a nuevas soluciones de investigación cibernética”, anuncia Vincenzetti.

Todo comenzó hace unos 4 meses después de que un hacker misterioso o grupo de piratas informáticos atacasen los servidores de Hacking Team consiguiendo sacar más de 400 GBytes. de datos internos incluyendo correos electrónicos., herramientas de hackeo, de día cero, para la vigilancia o el código fuente de la suite de software espía llamada Sistema de Control Remoto o RCS, entre otras cosas.

Desde entonces, según informa la propia compañía de seguridad atacada, Hacking Team ha estado trabajando en el lanzamiento de una nueva y renovada décima edición de su sistema de control remoto de propiedad, el RCS 10. Esta es una suite por la que precisamente la compañía es conocida en todo el mundo. Integra software espía por control remoto también conocido como Galileo y que carga una serie de exploits de día cero que tienen la capacidad de controlar los ordenadores de sus objetivos de manera remota. Sin embargo a día de hoy aún no está claro si la empresa piensa realmente liberar el nuevo RCS 10, ya que algunas fuerzas del orden y potenciales clientes tienen sus dudas acerca de esta compañía debido fundamentalmente a su reciente fallo de seguridad.

Facebook ahora notificará si la NSA te está espiando

La red social tendrá una nueva notificación que avisará si tu cuenta está bajo la mirada de alguna agencia gubernamental.

fayerwayer.- El director de seguridad de Facebook, Alex Stamos, anunció en un comunicado la existencia de una nueva notificación de advertencia que avisará a los usuarios de esta red social en caso de que su cuenta esté comprometida o esté bajo algún tipo de vigilancia gubernamental. En pocas palabras, si estás bajo la mirada de alguna agencia de seguridad como la NSA, Facebook te lo va a hacer notar.

Aunque siempre hemos tomado medidas para proteger las cuentas que creemos que se han comprometido, hemos decidido mostrar esta advertencia adicional si tenemos una fuerte sospecha de que un ataque podría ser patrocinado por algún gobierno. Hacemos esto porque este tipo de ataques tienden a ser más avanzados y peligroso que otros, y le recomendamos a las personas afectadas a tomar las acciones necesarias para asegurar todas sus cuentas en línea.

Stamos asegura que esta notificación no aparecerá cuando Facebook se vulnerado de alguna manera en toda su plataforma sino que detectará específicamente si existe un código atacante que quiera hacer uso de la cuenta de algún usuario:

Para proteger la integridad de nuestros métodos y procesos, a menudo no vamos a ser capaces de explicar cómo atribuimos ciertos ataques a presuntos atacantes. Dicho esto, tenemos la intención de utilizar esta advertencia sólo en situaciones en las que la evidencia apoya fuertemente nuestra conclusión. Esperamos que estas advertencias ayuden a las personas en necesidad de protección, y continuaremos mejorando nuestra capacidad para prevenir y detectar los ataques de todo tipo contra personas en Facebook.

Así se verá la notificación en caso de que tu cuenta esté comprometida:

Corea del Norte explota vulnerabilidades dia cero en el Procesador de textos principal de Corea del Sur

FireEye sospecha que Corea del Norte es responsable de una serie de ataques contra Corea del Sur que dependen de una vulnerabilidad dia cero en el procesador de textos más popular del Sur.

Los expertos en seguridad de FireEye especulan que Corea del Norte ha llevado a cabo ataques cibernéticos contra entidades de Corea del Sur mediante la explotación de una vulnerabilidad día cero (CVE-2.015-6585) en un programa de procesamiento de texto ampliamente utilizado en ese país, el procesador de texto Hangul.

De acuerdo con un informe publicado por FireEye, el procesador de texto Hangul es un software propietario utilizado principalmente por el gobierno y las instituciones públicas en Corea del Sur, por esta razón, Corea del Norte supuestamente explotó el vector de ataque.

La CVE-2015-6585 se arreglo hace unos días por el desarrollador del procesador de texto Hangul, Hancom.

Los expertos de FireEye han advertido que la atribución es definitiva, pero la circunstancia, el escenario de ataque y el objetivo elegido para dirigir la amenaza apunta a la investigación a creer que Corea del Norte está detrás de los ataques cibernéticos.

"Aunque no es concluyente, la focalización de un software de procesamiento de textos de propiedad de Corea del Sur sugiere fuertemente un interés específico en los objetivos de Corea del Sur, y con base en las similitudes de código y la superposición de infraestructura, la inteligencia de FireEye evalúa que esta actividad puede asociarse con actores de amenazas basadas en Corea del Norte . ", afirma el informe publicado por FireEye.
Los investigadores explicaron que una vez que una instancia maliciosa del procesador de textos Hangul se abre por las víctimas, se instala una puerta trasera en el blanco. FireEye apodo HANGMAN a esta puerta trasera, puesto que implementa funcionalidades comunes a dicha categoría de malware.

"Todos los documentos HWPX maliciosos instalan copias similares de un backdoor que llamamos HANGMAN. HANGMAN es capaz de cargar y descargar archivos, procesos y gestión del sistema de archivos, recopilar información del sistema, y ​​actualizar su configuración. La puerta trasera también encapsula su protocolo de comunicación con SSL. HANGMAN comienza comunicaciones mediante el envío de un handshake SSL legítimo a su servidor de mando y control (C2). Luego continúa comunicandose mediante mensajes de cabecera SSL, pero el payload del mensaje es un protocolo binario personalizado. "Continúa el informe.

Al analizar el código de la puerta trasera de HANGMAN los investigadores descubrieron la presencia de direcciones IP no modificables que pertenecen a la infraestructura de comando y control, estas direcciones IP se han relacionado con otros ataques sospechosos relacionados con Corea del Norte.

HANGMAN presenta varias similitudes con otra puerta trasera descubierta por FireEye apodada Peachpit, que se atribuyó por los expertos a Corea del Norte.

"Las variantes de HANGMAN esparcidas por los documentos HWPX utilizan funciones que son muy similares a las observadas en otras familias de malware utilizadas por presuntos actores basados ​​en Corea del Norte, como la puerta de atrás que llamamos Peachpit. Tanto Peachpit y HANGMAN incorporan una función donde se transmiten los comandos de Windows a la puerta trasera del servidor C2 remoto. ", Señala el informe.

Israel es la principal fuente de los ataques cibernéticos contra Irán

De acuerdo con un reciente informe emitido por la agencia de noticias Mehr, más de 10.000 ataques cibernéticos son detectados por Irán todos los días, la mayoría de Israel.

Según un informe reciente, más de 10.000 ataques de seguridad en Internet son detectados por los expertos en seguridad cibernética en Irán cada día, un país que está gastando un importante esfuerzo para mejorar sus capacidades cibernéticas.

En marzo de 2015, el portal británico Business Insider publicó un interesante articulo sobre las capacidades cibernéticas iraníes, según los expertos del Gobierno de Teherán está mejorando la experiencia en el dominio cibernético más rápido que los expertos 'alguna vez hayan imaginado,' el aumento del gasto de seguridad cibernética creció 12 veces desde 2013.

Presupuesto destinado a Seguridad en Irán

Hoy Irán ocupa el lugar numero 19 en términos de seguridad cibernética a nivel mundial, el país ha logrado sólo el 39 por ciento de un objetivo del 53 por ciento de su Sistema de Gestión de Seguridad de la Información (SGSI) y el 20 por ciento de un objetivo de 100 por ciento para el lanzamiento de un Centro de Operaciones de Seguridad Nacional SOC.

La situación presentada por los iraníes es preocupante, según los expertos en seguridad cibernética del país. El país es un objetivo privilegiado de espías y hackers extranjeros, a pesar del importante compromiso con la seguridad cibernética del Gobierno de Teherán, la infraestructura nacional todavía sufre la ofensiva extranjera.

Según las autoridades iraníes, el ataque Stuxnet en septiembre 2013 infectó más de 30.000 máquinas cambiando completamente la percepción de la amenaza cibernética del Gobierno central.

El último ataque en el orden del tiempo atribuido por las autoridades iraníes que los hackers patrocinados por el Estado se basó en el malware Dino, un agente malicioso dirigido a la mayoría de los sistemas del país.
En julio, ESET publicó un detallado análisis del malware Dino, el investigador de ESET Joan Calvet ha detectado una sola muestra de Dino en el ambiente que se utilizó en un intento de infectar a un objetivo en Irán en 2013.

"Dino es tan difícil de encontrar ya que el grupo detrás de la granja es realmente bueno en la orientación de personas con precisión, y básicamente se pierde una gran cantidad de sus muestras", dijo Calvet

Dino es un malware modular, una serie de componentes le permiten llevar a cabo varias tareas para operaciones de espionaje cibernético.

No sorprende que la mayoría de los ataques cibernéticos contra Irán se lanzan desde Israel según ha explicado el ministro de TI Mahmoud Vaezi.

"El ministro de TI Mahmoud Vaezi ha dicho que la mayoría de los ataques cibernéticos contra Irán se lanzan desde Israel. Según Vaezi, varios países occidentales y árabes se sitúan detrás de Israel en el lanzamiento de ataques cibernéticos contra Irán. ", Informó la agencia de noticias de tendencia.

Behnaz Arya, director del Departamento de Seguridad de Sistemas del Gremio Teherán en el Ciberespacio, explicó que el presupuesto asignado a la investigación y el desarrollo no es adecuada para satisfacer las necesidades del país y llegar a la meta establecida por la estrategia cibernética del gobierno.

De acuerdo con Arya, la falta de conciencia a nivel de organización es la causa principal de los problemas de seguridad críticos para la postura del país en el ciberespacio.

Es indudable que Irán continuara creciendo en términos de Seguridad de Información, es cuestión de esperar y ver como responden.

Un mapa secreto de la NSA muestra ataques chinos exitosos

La cadena de noticias NBC News publicó un mapa de la NSA secreto que muestra la ubicación de ataques "Víctimas de Ciber Espionaje Chino" que resultaron en el robo de datos.

La NBC News ha publicado en exclusiva un mapa secreto de la NSA que muestra las ubicaciones de los ataques cibernéticos realizados por hackers chinos durante un período de cinco años. Cada marcador en el mapa representa un ataque exitoso que resultó en el robo de datos, la lista de objetivos es larga e incluye empresas privadas y infraestructuras críticas de los Estados Unidos.

Según fuentes de la NBC, el mapa de la NSA fue parte de una conferencia de prensa en febrero 2014 que fue preparado por la Inteligencia de Estados Unidos.

La NSA estaba advirtiendo compañías principales del país, incluyendo Google y Lockheed Martin, sobre posibles ataques de hackers patrocinados por el Estado chino. La inteligencia de Estados Unidos también era consciente del interés de las autoridades chinas en los sistemas de control del tráfico aéreo.

Hackers chinos han dirigido sus ataques a prácticamente cada industria americana, campañas de espionaje cibernético dirigido Oficinas de Gobierno (es decir, del Departamento de Estado, la OPM), agencias de medios y contratistas estadounidenses.

El mapa cuenta con más de 600 ataques cibernéticos, concentrados principalmente en las principales áreas metropolitanas y los centros industriales como el Silicon Valley.

"El mapa utiliza puntos rojos para marcar más de 600 empresas, privadas o gubernamentales "víctimas del ciberespionaje chino" que fueron atacados durante un período de cinco años, con grupos en centros industriales de Estados Unidos. Todo el Corredor Noreste de Washington a Boston se cubrió de rojo, asi como es el Silicon Valley de California, con otras concentraciones en Dallas, Miami, Chicago, Seattle, Los Ángeles y Detroit. El mayor número de ataques se encontraba en California, que tenía casi 50." afirma la NBC News.

 El mayor número de ataques cibernéticos se concentró en California, el mapa reporta casi 50 ataques cibernéticos exitosos.

La NBC News especulan que la NSA es capaz de realizar un seguimiento de las campañas de espionaje cibernético chino y sabe exactamente qué empresas fueron blanco de los hackers extranjeros.