Check Point Software Technologies descubrió a un grupo de atacantes persistentes que posiblemente se origina del Líbano con vínculos políticos; reveló una campaña de ataques denominada Volatile Cedar que usa un malware personalizado con el nombre de código Explosive.
En operación desde principios de 2012, esta campaña penetró con éxito un gran número de blancos alrededor del mundo durante este tiempo los atacantes han monitoreado las acciones de las víctimas y hurtado datos. Las organizaciones que fueron atacadas hasta ahora son contratistas de defensa, compañías de telecomunicaciones y de medios así como instituciones educativas. La naturaleza de los ataques y las repercusiones asociadas sugieren que los motivos del atacante no son financieros sino que buscan extraer información delicada de los blancos.
El modus operandi de este grupo de atacantes se dirige a servidores web públicos con descubrimiento de vulnerabilidades manual y automático. Una vez que los atacantes ganan control del servidor él/ella lo pueden usar como punto principal para explotar, identificar y atacar blancos adicionales ubicados dentro de la red interna. Vimos evidencia de hackeo en línea manual así como un mecanismo de infección USB automático.
“Volatile Cedar es una campaña de malware muy interesante. Ha estado activa con éxito todo este tiempo evadiendo la detección a través de una operación bien planeada y gestionada cuidadosamente que monitorea constantemente las acciones de sus víctimas y responde a incidentes de detección”, afirmó Dan Wiley, jefe de respuesta a incidentes e inteligencia de amenazas de Check Point Software Technologies. “Esta es una cara del futuro de los ataques dirigidos: Malware que observa una red silenciosamente hurtando datos y puede cambiar si es detectado por sistemas antivirus. Es hora de que las organizaciones sean más proactivas para proteger sus redes”.
