El ciberespionaje patrocinado por Estados-nación es cada vez más sofisticado, se enfoca en usuarios cuidadosamente definidos y utiliza herramientas complejas modulares, y se mantiene oculto a los sistemas de detección cada vez más eficientes.
Esta nueva tendencia se confirmó durante un análisis detallado de la plataforma de ciberespionaje EquationDrug. Los especialistas de Kaspersky Lab encontraron que, después del éxito creciente de la industria para exponer a grupos de amenazas persistentes avanzadas (APT), los actores de las amenazas más sofisticadas ahora se centran en aumentar el número de componentes en su plataforma maliciosa para llamar menos la atención y aumentar su sigilo.
Las últimas plataformas ahora están compuestas de muchos módulos complemento que les permite seleccionar y realizar una amplia gama de funciones, dependiendo de su objetivo y de la información que contienen. Kaspersky Lab estima que EquationDrug incluye 116 complementos diferentes; es la principal plataforma de espionaje desarrollada por el Grupo Equation. Ha estado en uso por más que una década aunque ahora sea reemplazada en gran parte por la plataforma aún más sofisticada GrayFish. Las tendencias en tácticas confirmadas por el análisis de EquationDrug fueron observadas por primera vez por Kaspersky Lab durante su investigación de las campañas de ciberespionaje Careto y Regin, entre otras.
Otras formas en que estos Estados-nación atacantes diferencian sus tácticas de los ciberdelincuentes tradicionales incluyen:
- Escala. Los ciberdelincuentes tradicionales distribuyen en forma masiva correos electrónicos con archivos adjuntos maliciosos o infectan sitios web a gran escala, mientras que los actores Estados-nación prefieren ataques quirúrgicos altamente selectivos, que infecten sólo a un puñado de usuarios seleccionados.
- Enfoque individual. Mientras que los ciberdelincuentes típicos utilizan de manera reiterada código fuente públicamente disponible como por ejemplo los Troyanos Zeus o Carberb, los actores Estados-nación construyen malware único y personalizado, e incluso implementan restricciones que evitan el descifrado y la ejecución fuera de la computadora objetivo.
- Extracción de información valiosa.Los ciberdelincuentes en general intentan infectar a tantos usuarios como sea posible. Sin embargo, no tienen el tiempo o el espacio de almacenamiento para revisar manualmente todas las máquinas que infectan y saber quiénes son los propietarios, qué tipo de datos tienen almacenados y qué tipo de software están ejecutando – para luego transferir y almacenar todos los datos potencialmente interesantes.
- Como resultado codifican malware todo en uno que extraerá sólo los datos más valiosos como números de contraseñas y de tarjetas de crédito de las máquinas de las víctimas – actividad que rápidamente llamará la atención de cualquier software de seguridad instalado.
- Por otro lado, los Estados-nación atacantes tienen los recursos para almacenar todos los datos que sean necesarios. Para esquivar la atención y mantenerse invisibles para el software de seguridad, tratan de evitar la infección de usuarios al azar y en lugar de eso dependen de una herramienta genérica de administración remota del sistema que pueda copiar cualquier información que pudieran necesitar y en cualquier cantidad. Sin embargo, esto podría funcionar en su contra ya que la movilización de grandes cantidades de datos podría hacer muy lenta la conexión de la red y despertar sospechas.
