'USBCulprit' es una de varias herramientas que sugieren que el grupo Cycldek conocido anteriormente es más peligroso de lo que se suponía anteriormente, dice el proveedor de seguridad.
Un probable actor de amenazas con sede en China llamado Cycldek, que los investigadores de seguridad han descartado previamente como un grupo algo marginal con capacidades relativamente poco sofisticadas, puede ser considerablemente más peligroso de lo que se pensaba.
Ese es el análisis del proveedor de seguridad Kaspersky después de un nuevo examen del conjunto de herramientas y operaciones de malware del grupo de amenazas. En un informe de esta semana, los investigadores de Kaspersky describen el hallazgo de numerosas pepitas de información desconocida hasta ahora que sugiere que los operadores de Cycldek tienen una amplia presencia en las redes de varios objetivos de alto perfil en Vietnam, Laos y Tailandia. Desde al menos 2018, el grupo (también conocido como Goblin Panda y Conimes) ha estado utilizando una variedad de nuevas herramientas, tácticas y procedimientos en ataques contra agencias gubernamentales en estos países, dice Kasperksy.
Entre las nuevas herramientas se encuentra una llamada USBCulprit, que parece diseñada para su uso en entornos con espacio de aire donde los sistemas no son directamente accesibles desde una red externa. De acuerdo con Kasperksy, su análisis muestra que el malware es capaz de robar datos específicos de un sistema infectado y pasarlos a unidades USB conectadas. El malware está programado para copiarse selectivamente en ciertas unidades USB para que pueda moverse lateralmente a otros sistemas con espacio de aire cada vez que se inserta una unidad USB infectada en uno.
Mark Lechtik, investigador senior de seguridad de Kaspersky, dice que USBCulprit no tiene capacidad de comunicarse a través de la red y solo puede pasar cualquier información que haya robado a los medios físicos. El hecho de que perfila la conectividad de red del sistema infectado y copia esta información junto con documentos robados en unidades extraíbles sugiere que fue diseñado principalmente para apuntar a máquinas con espacios de aire, dice.
“Para implementar USBCulprit en un sistema con espacio de aire, el USB tendría que estar físicamente conectado y un operador tendría que iniciar manualmente el ejecutable del malware, ya sea a propósito o por error”, señala Lechtik. Se cree que el ciberataque Stuxnet liderado por Estados Unidos que destruyó físicamente numerosas centrifugadoras en la planta de enriquecimiento de uranio de Natanz en Irán en 2012 comenzó de esta manera, con alguien insertando un USB armado en un sistema crítico en la instalación.
Sin embargo, lo que no está claro es la táctica que utilizan los operadores de Cycldek para extraer datos de los USB. Es muy posible que copiar datos a los USB sea el final del juego y los atacantes estén recolectando manualmente las unidades más tarde.
Exfiltración de datos
Pero de manera algo desconcertante, el análisis de Kasperksy muestra que USBCulprit también puede volcar datos robados de una unidad USB conectada a un disco local en sistemas que contienen un archivo de marcador especial llamado "1.txt" en una ruta específica, dice Lechtik. Esto es cierto independientemente de si el sistema está conectado a la red.
“Sabemos que los sistemas que fueron previamente marcados con el archivo especial '1.txt' [son] teóricamente capaces de filtrar los datos de alguna manera”, dice.
Kaspersky no ha podido encontrar ninguna evidencia de cómo estos sistemas especialmente marcados extraen los datos robados.
“Podemos suponer que lo está haciendo otra pieza de malware en la que no tenemos visibilidad o que los USB fueron recogidos por un manipulador humano después de que se copiaron los datos, evitando la necesidad de emitirlos a través de la red. ”, Dice Lechtik.
Lo que tampoco está claro son los datos específicos que los operadores de Cycldek buscan con USBCulprit. El malware recopila documentos según las extensiones de archivo y la ubicación de los documentos en el sistema, por ejemplo, Escritorio, Documento reciente y otros directorios. El malware no parece distinguir archivos en función del contenido real, por lo que no hay forma de identificar la naturaleza de los documentos que Cyclkdek podría estar obteniendo de los sistemas con espacios vacíos en las organizaciones gubernamentales.
Los operadores de Cycldek parecen haber estado usando USBCulprit al menos desde 2014 y modificándolo desde entonces. La última versión contiene una función que sugiere que la funcionalidad del malware se puede ampliar con nuevos módulos según sea necesario.
Los investigadores de Kasperksy observaron el malware utilizado por lo que parecen ser dos grupos separados bajo el paraguas de Cycldek. Los datos disponibles sugieren un cierto nivel de cooperación y herramientas compartidas entre las dos entidades. Pero la infraestructura utilizada y los comportamientos en los sistemas infectados por cada uno de ellos son diferentes, dice Kaspersky.
Contenido relacionado:
Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años ... Ver Biografía completa
Lecturas recomendadas:
Más Información
