La firma de seguridad Cylance ha descubierto una sofisticada campaña patrocinada por el estado, seguida como Operación Shaheen, contra la Fuerza Aérea de Pakistán.
De acuerdo con los expertos, la campaña fue llevada a cabo por un actor del estado de la nación que fue identificado como la Compañía Blanca con acceso a explotaciones de día cero y desarrolladores de explotación.
“Los hallazgos preliminares detallan una de las campañas recientes del grupo, un esfuerzo de espionaje de un año de duración dirigido a la Fuerza Aérea de Pakistán . Cylance llama a la campaña Operación Shaheen y a la organización The White Company, en reconocimiento de las muchas medidas elaboradas que la organización toma para encubrir todos los signos de su actividad y evadir la atribución ", lee el comunicado de prensa publicado por Cylance.
“La Fuerza Aérea de Pakistán no es solo una parte integral del establecimiento de seguridad nacional del país, incluido su programa de armas nucleares, sino que también es el hogar recientemente anunciado del Centro Nacional de Seguridad Cibernética del país . "Una operación de espionaje exitosa contra un objetivo de este tipo podría generar una perspectiva táctica y estratégica significativa para un rango de potencias extranjeras".
Como parte de la Operación Shaheen, los piratas informáticos de la Compañía Blanca atacaron a miembros de la Fuerza Aérea de Pakistán con mensajes de "phishing" que armaban archivos de señuelos con eventos a los que se hacía referencia, documentos gubernamentales o artículos de interés para los objetivos (es decir, la Fuerza Aérea de Pakistán, el Pakistán gobierno, y militares chinos y asesores en Pakistán).
Los atacantes inicialmente usaron mensajes de phishing con enlaces a sitios web comprometidos, luego cambiaron a correos electrónicos que usaban documentos de Word infectados como archivos adjuntos.
En ambos casos, encontraron los investigadores, los correos electrónicos fueron diseñados específicamente para hacer referencia a temas que serían relevantes para atraer a los objetivos: la Fuerza Aérea de Pakistán, el gobierno de Pakistán y los asesores y militares chinos en Pakistán.
“No podemos decir con precisión dónde fueron esos documentos, o cuáles fueron exitosos. Sin embargo, podemos decir que la Fuerza Aérea de Pakistán fue un objetivo principal. Esto es evidente por los temas primordiales expresados en los nombres de archivo de documentos, el contenido de los documentos de señuelo y la especificidad empleada en los señuelos con temática militar ", continúa el informe publicado por Cylance.
“Además, como se explica a continuación, el malware entregado por estos señuelos se entregó desde dominios no solo de organizaciones paquistaníes legítimas y comprometidas, una táctica común que usan los atacantes para hacer que cualquier tráfico que el objetivo pueda observar parezca benigno, sino organizaciones paquistaníes legítimas y comprometidas con Una conexión explícita con el ejército pakistaní ".
El código malicioso utilizado por los piratas informáticos de White Company pudo evadir las principales soluciones antivirus, como Sophos, ESET, Kaspersky, BitDefender, Avira, Avast, AVG y Quickheal.
El malware utilizado en la campaña implementa cinco técnicas de embalaje diferentes que colocan la carga útil máxima dentro de una serie de capas.
Atribuir el ataque a un actor específico es muy difícil, una amplia gama de atacantes de estados nacionales tendría interés en espiar a los miembros de la Fuerza Aérea de Pakistán.
“Cylance no se esfuerza por atribuir de forma concluyente ataques o campañas a entidades específicas, por principio, por varias razones. Este enfoque es particularmente prudente en este caso. El actor de la amenaza en cuestión hizo grandes esfuerzos para eludir la atribución. Hicieron herramientas creadas por varios desarrolladores diferentes, algunos de los cuales tomaron medidas para cubrir sus huellas. "Estos esfuerzos sirvieron para complicar la imagen general de lo que ocurrió y quién estaba detrás", concluye la firma.
“Pakistán es una nación tumultuosa, con armas nucleares y con una historia de explosivas políticas internas. "Su posición en el tablero geopolítico los convierte en un objetivo obvio para todos los estados nacionales con programas cibernéticos bien desarrollados (es decir, los Cinco Ojos, China, Rusia, Irán, RPDC, Israel)"
Fecha actualización el 2021-11-14. Fecha publicación el 2018-11-14. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: securityaffairs