Hace dos meses nos hacíamos eco del enorme problema de seguridad informática que había sufrido Japón. El Centro Nacional de Preparación para Incidentes y Estrategia para la Ciberseguridad (NISC) del país no había conseguido controlar a tiempo una filtración de datos internos, un escenario que ha tenido varias implicaciones.
Pero el tiempo nos ha ido enseñando que ni siquiera los gobiernos están a salvo de los cada vez más persistentes ataques cibernéticos. Según Bleeping Computer, el Equipo Global de Investigación y Análisis de Kaspersky ha identificado una amenaza en curso que compromete la funcionalidad de unidades USB de seguridad avanzada con cifrado por software.
Cuando un dispositivo con seguridad avanzada no puede cumplir su función
En el mercado hay una amplia variedad de unidades USB con seguridad avanzada. Este tipo de dispositivos de almacenamiento suelen se muy utilizados por empresas y gobiernos, principalmente cuando tienen características de cifrado basadas en software. Pero, como cualquier cosa en el mundo digital, no son 100% infalibles.
Kaspersky señala que un tipo específico de unidad USB con cifrado por software, cuya marca y modelo no ha sido revelado, viene siendo objetivo de grupos de ciberdelincuentes sofisticados, posiblemente patrocinado por estados, desde hace años. ¿El resultado? El robo de información supuestamente protegida bajo contraseña.
Las víctimas, de acuerdo a los especialistas, han sido entidades gubernamentales de la región Asia-Pacífico. Dada la sofisticación del ataque, todo parece indicar que se trataría de esfuerzos de espionaje altamente dirigidos. Señalan, además, que el mismo método puede haber sido utilizado para robar datos financieros.
¿Cómo ha sido posible vulnerar a una unidad USB con cifrado? Veamos algunos aspectos interesante de el método utilizado por los actores maliciosos. Los dispositivos de almacenamiento en cuestión tienen una parte que está cifrada y otra que no lo está que tiene el software encargado de descifrar el contenido.
El ataque comienza infectado el ordenador de la víctima con una carga útil llamada AcroShell que, a través de un servidor de comando y control, descarga componentes maliciosos adicionales que permiten identificar el tipo de memorias USB utilizadas por el objetivo. Posteriormente entra en acción un malware llamado XMKR.
XMKR compromete la seguridad de las unidades USB en base a la información robada anteriormente, afectando directamente los archivos de la partición no cifrada, es decir, los encargados de abrir la puerta a los archivos cifrados. En todos los casos, el ataque se efectúa en Windows y con otros módulos complejos.
Desde Kaspersky señalan que los actores maliciosos también recurren a técnicas de virtualización para ocultar y proteger el código malicioso de sus programas, haciendo que sean casi imperceptibles por los sistemas de seguridad. Asimismo, métodos autorreplicación para propagarse en la red de ordenadores de la víctima.
Imágenes: Brina Blum | Sebastiaan Chia
Ver 2 comentarios