Nueva Delhi: Los activos de las agencias gubernamentales críticas de Pakistán, algunas de las cuales están afiliadas a las fuerzas armadas, se han enfrentado a ataques cibernéticos persistentes de un grupo que, según expertos nacionales e internacionales, tiene su sede en la India.

El grupo, que los observadores y expertos han denominado "SideWinder", también conocido como Rattlesnake, ha lanzado la asombrosa cantidad de más de 1,000 ataques desde abril de 2020 contra activos cibernéticos gubernamentales, militares y comerciales con sede en Pakistán y logró secuestrar, robar o modificar contenido en el sistemas informáticos previstos.

Anteriormente, estos grupos cibernéticos "nacionalistas" con sede en India, como mucho, desfigurarían los sitios web, mientras que entidades similares con sede en Pakistán y China se entregarían al espionaje cibernético y la interrupción de los activos críticos de las organizaciones con sede en India. Según un informe de Zscaler, una empresa de seguridad cibernética con sede en California, que tiene cuatro oficinas en India, la gente detrás de SideWinder, en uno de sus ataques recientes, ha plantado un nuevo malware llamado "WarHawk", que, según los investigadores. , secuestra por completo el sistema del destinatario previsto.

“Una vez que la víctima está infectada por el malware 'WarHawk', el malware comienza a enviar información del sistema a los atacantes, descarga y ejecuta otros malware diferentes en el sistema infectado. También brinda acceso remoto al sistema ejecutando comandos en él y comienza a enviar información como el nombre del archivo, el tamaño del archivo, la fecha, etc. Una cosa interesante que encontramos es que el malware se ejecuta solo si el sistema está en hora estándar de Pakistán. ”, dijo Niraj Shivtarkar, investigador de ThreatLabz, el equipo de investigación de Zscaler.

Según él, se habían encontrado con diferentes versiones del mismo malware, lo que indica que las personas detrás del grupo cibernético estaban actualizando el malware con funcionalidades más avanzadas. Los investigadores no han podido identificar los objetivos exactos de este grupo cibernético, que también se conoce con el nombre de "nacionalista incondicional", pero creen que los actores comprometieron el sitio web del gobierno, incluido el sitio web oficial de la NEPRA (Autoridad Reguladora Nacional de Energía Eléctrica) de Pakistán. y alojó la carga maliciosa allí con fines de distribución. De manera similar, el grupo también creó sitios de "phishing" que se asemejaban al sitio de la Agencia Federal de Investigación (FIA) de Pakistán, Sui Northern Gas Pipelines Limited y el Ministerio de Relaciones Exteriores para atraer a sus víctimas.

Los piratas informáticos utilizaron un señuelo para ocultar el malware al mostrar un aviso cibernético legítimo emitido por la División del Gabinete de Pakistán en julio de 2022 que pedía a los funcionarios que estuvieran al tanto de los "sitios web de phishing maliciosos".

El SideWinder ha estado en el radar de los observadores cibernéticos desde al menos 2012. En mayo de 2022, los investigadores de Kaspersky, mientras participaban en un evento "Black Hat" en Singapur, una reunión que reúne a personas interesadas en la seguridad de la información, afirmaron que las huellas anteriores que llevó a los investigadores a identificarlo con India ahora ha “desaparecido”. Según Noushin Shaba, investigadora sénior de seguridad del equipo global de investigación y análisis de Kaspersky, no estaba segura de vincular al grupo con ninguna nación luego del borrado de las huellas. Shaba, en una presentación de PowerPoint de 25 páginas, afirmó que SideWinder se ha convertido en uno de los atacantes más prolíficos del planeta y ha intensificado sus actividades “quizás porque sus recursos han aumentado, por medios desconocidos, lo cual es evidente por la creciente sofisticación de sus dispositivos preferidos. malware y expansión de sus huellas geográficas”. Según ella, ha estado activo desde al menos 2012, pero pasó desapercibido por primera vez en enero de 2018.

Esta no es la primera vez que los activos militares y otros activos estratégicos de Pakistán se ven afectados por un ataque cibernético que, según se afirma, se originó en la India. En mayo de este año, se sustrajo información militar crítica relacionada con la Fuerza Aérea de Pakistán (PAF) de los sistemas informáticos instalados en la sede de la PAF, en Islamabad. Dicho incidente, durante mucho tiempo, fue mantenido en secreto por el ejército de Pakistán. Más tarde, investigadores con sede en Pakistán y China, citando fuentes militares, afirmaron que dicho "espionaje" cibernético fue llevado a cabo por "entidades amigas de India".

Según los funcionarios de estos países, estas entidades descargaron malware que, después de instalarse en el sistema informático objetivo, recuperó una gran cantidad de documentos y presentaciones, incluidos los archivos cifrados que se almacenaron en ellos. Dijeron que el malware se envió al objetivo en correos electrónicos que supuestamente provenían de sus oficiales superiores.

Algunos de los archivos que se transfirieron desde los sistemas informáticos militares estaban relacionados con las comunicaciones por satélite, las comunicaciones militares y las instalaciones nucleares. En total, según afirman funcionarios paquistaníes y chinos, cerca de 20,000 archivos, algunos de los cuales incluían correspondencia enviada por las principales oficinas de defensa de Pakistán, se vieron comprometidos.

Más tarde, los analistas con sede en Pakistán pudieron identificar la intrusión, según afirmaciones no verificadas, basándose en pistas que dejaron los mismos piratas informáticos que irrumpieron en los sistemas. Se ejecutó una acción similar, según afirman los mismos analistas con sede en Pakistán y China, en marzo que apuntó a los activos navales de Pakistán.

China y Pakistán, desde hace mucho tiempo, llevan a cabo ciberataques contra empresas militares y civiles indias, algo que se ha atribuido a la falta de conciencia de los funcionarios sobre cómo evitar estos ciberataques, que en la mayoría de los casos pasan por una simple correo electrónico troyano o un sitio web de phishing. En octubre de 2020, India sufrió un ciberataque patrocinado por el estado chino en sus plantas de energía, lo que provocó un corte de energía generalizado en Mumbai. Sin embargo, lo mismo fue negado por China.