MADRID, 2 Mar. (Portaltic/EP) -
Una investigación de la compañía de ciberseguridad Kaspersky Lab ha concluido que el grupo de ciberespionaje Sofacy viró en 2017 su actividad hacia objetivos de Asia central y Oriente, cuando había empezado el año enfocándose en la OTAN y en Ucrania. Este colectivo es el responsable del 'hackeo' sufrido por el Partido Demócrata de EEUU durante la precampaña de las presidenciales de 2016.
Sofacy, grupo de ciberespionaje de habla rusa también conocido como APT28 o Fancy Bear, protagoniza un informe de Kaspersky que resume la actividad que llevó a cabo el pasado año. El objetivo de esta investigación, según un comunicado de la empresa de ciberseguridad, es ayudar a las organizaciones de todo el mundo "a comprenderlo mejor y protegerse contra el mismo".
Estos espías informáticos se posicionaron en el primer plano mediático en 2016 cuando, en colaboración con el grupo ATP29, 'hackearon' al Partido Demócrata de Estados Unidos en plena precampaña electoral, haciéndose con una investigación que la formación política había realizado sobre Donald Trump, entonces precandidato republicano y a la postre presidente electo del país.
El informe sobre Sofacy, elaborado por el equipo GReAT de Kaspersky Lab, ha concluido que la actividad del grupo de ciberespionaje "viró" en 2017 desde un "fuerte enfoque" a objetivos relacionados con la OTAN y Ucrania a principios de año, a un interés "creciente" en Asia central y Oriente en su recta final.
DE LA OTAN A ASIA CENTRAL
El año empezó con la culminación de la campaña de 'spear-phishing' en la que Sofacy utilizaba la herramienta Dealers' Choice para la distribución de 'malware' contra organizaciones relacionadas con Ucrania, intereses militares y diplomáticos, y la OTAN, con un alcance "notable".
La organización atlántica también fue el objetivo, durante la primera mitad del año, de otros ataques de 'spear-phishing' de una pareja de 'zero-days' aprovechando dos vulnerabilidades de Microsoft para escalar privilegios. Este último ataque se distribuía usando contenido relacionado con el conflicto armado de Siria.
A mediados de 2017, detecciones del 'backdoor' SPLM de Sofacy revelaron un foco de actividad continuo en las repúblicas exsoviéticas de Asia central. Los perfiles de los objetivos incluían organizaciones militares y comerciales relacionadas con la defensa y las telecomunicaciones. Un objetivo atípico del SPLM detectado por los analistas fue una empresa de auditoría y consultoría en Bosnia y Herzegovina, ha recordado Kaspersky.
Además, los analistas descubrieron que el mecanismo de entrega Zebrocy, usado por Sofacy, se estaba actualizando para alcanzar a un subconjunto "pequeño y específico" de objetivos. Para estos ataques, el contenido de los correos 'spear-phishing' estaba relacionado con peticiones de visado, imágenes escaneadas, administración del control de sesiones y otras notas administrativas. El foco estaba repartido entre Oriente Próximo, Europa y Asia, y dirigido contra objetivos industriales, tecnológicos, gubernamentales y diplomáticos, entre otros.
Kaspersky Lab ha recordado que durante 2017 se hizo pública parte de la infraestructura usada por Sofacy, por lo que los analistas esperan ver "cambios" en la misma durante 2018.
El analista principal de Kaspersky, Kurt Baumgartner, ha comentado que este grupo de ciberespionaje continúa lanzando "importantes" ataques, a menudo con una escala global. Las campañas masivas, ha añadido, parecen haber dado paso a "subconjuntos de actividad y 'malware' más específico" que incluyen herramientas como Zebrocy o SPLM.
