Los delincuentes informáticos no pierden ni un segundo para intentar robar datos de las grandes organizaciones. Uno de estos intentos tiene por nombre Termita Azul, una campaña de ciberespionaje que ha descubierto el GREAT de Kaspersky Lab, la cual ha sido dirigida a cientos de organizaciones en Japón durante al menos dos años.
Los ciberatacantes utilizaban un exploit zero-day en Flash Player y un sofisticado backdoor que se personalizaba para cada víctima con el objetivo de buscar información confidencial. Esta es la primera campaña descubierta por Kaspersky Lab que se centra de forma exclusiva en objetivos japoneses – y sigue estando activa.
En octubre de 2014, los analistas de Kaspersky Lab encontraron una muestra de malware nunca antes vista, que destacaba entre las demás debido a su complejidad. Un análisis más detallado ha demostrado que esta muestra es sólo una pequeña parte de una campaña de ciberespionaje grande y sofisticada.
«Aunque Termita Azul no es la primera campaña de ciberespionaje que ataca Japón, sí es la primera campaña conocida por Kaspersky Lab que se centra estrictamente en objetivos japoneses. En Japón sigue siendo un problema, desde principios de junio, cuando se informó al Servicio de Pensiones de Japón del ciberataque, diversas organizaciones japonesas comenzaron a implementar medidas de protección. Sin embargo, los ciberatacantes, podrían haber mantenido una estrecha vigilancia sobre ellos y comenzaron a emplear nuevos métodos de ataque que amplió con éxito su impacto», dijo Vicente Díaz, analista principal en Kaspersky Lab.
Para infectar a sus víctimas, Termita Azul utiliza varias técnicas. Antes de julio de 2015, para la mayoría de los ataques se utilizaba spear-phishing emails, que es el envío de software malicioso como archivo adjunto en un mensaje de correo electrónico con contenido atractivo para la víctima. Sin embargo, en julio los ciberdelincuentes cambiaron de táctica y comenzaron a difundir malware a través de un exploit Flash zero-day. De esta manera los atacantes han logrado comprometer varios sitios web japoneses y e infectar los equipos de los visitantes de estas webs al descargar automáticamente un exploit. Esto se conoce como la técnica drive-by-download.
Uno de los sitios web comprometidos, perteneciente a un miembro del gobierno japonés y otra persona, contenía un script malicioso que filtraba a los visitantes según las direcciones IP para centrarse en los que entraban desde la IP de una organización japonesa concreta. En otras palabras, solo los usuarios elegidos recibían la carga maliciosa.
Malware exclusivo y artefactos lingüísticos
Tras la infección con éxito, se despliega en el equipo un sofisticado backdoor que es capaz de robar contraseñas, descargar y ejecutar la carga útil adicional, recuperar archivos, etc. Una de las cosas más interesantes de Termita Azul es que se suministra a cada víctima una muestra de malware único, creado para lanzarse en un PC específico. Según los investigadores de Kaspersky Lab, esto se ha hecho para dificultar el análisis del malware y su detección.
La pregunta de quién está detrás de este ataque sigue sin respuesta. Como de costumbre, la atribución es una tarea muy complicada cuando se trata de ciberataques sofisticados. Sin embargo, los analistas de Kaspersky Lab han podido recoger algunas muestras de lenguaje. En particular, la interfaz gráfica de usuario del servidor de comando y control, así como algunos documentos técnicos relacionados con el malware utilizado en la operación están escritos en chino. Esto podría significar que los actores que están detrás de la operación hablan este idioma.
Tan pronto como los analistas de Kaspersky Lab reunieron suficiente información para confirmar que Termita Azul es una campaña de ciberespionaje dirigida a organizaciones japonesas, representantes de la empresa informaron a las agencias policiales locales sobre estos descubrimientos. Como la operación todavía está en curso, la investigación de Kaspersky Lab también continúa.
La lista de objetivos incluye organizaciones no gubernamentales, industria pesada, química, sector financiero, medios de comunicación, organizaciones educativas, sanitarias, la industria de alimentos y otros.
