Una serie de ataques de ciberespionaje se han dirigido a personas de alto perfil en la India, incluidos diplomáticos y oficiales militares, con la ayuda de algunos métodos de ataque no tan nuevos: sitios de phishing y abrevaderos.
Fue a principios de febrero cuando la firma de seguridad Proofpoint detectó en tiempo real los ciberataques perpetrados contra los embajadores de India que tienen sus bases en Arabia Saudí y Kazajstán. Algunos de los atacantes provienen de Pakistán según las direcciones de Protocolo de Internet encontradas por Proofpoint. Según los hallazgos de la investigación, los atacantes emplearon una amplia variedad de tácticas de ataque para atacar a esos funcionarios estatales, incluidos sitios web de abrevaderos y campañas de phishing a través de correos electrónicos falsos.
Los atacantes apuntaron a la campaña de phishing en particular para inyectar un troyano de acceso remoto que contenía una amplia gama de funciones destinadas a robar datos. Estas funciones pueden obtener acceso a las cámaras de los portátiles, realizar capturas de pantalla y realizar la función de registro de teclas maliciosas.
Lea también: En India, una campaña de phishing masiva contra el banco más grande del país
Los informes sobre actividades de ciberespionaje no son nuevos en la actualidad. Sin embargo, lo nuevo es detectar ataques en vivo realizados por estados nacionales contra otras naciones, en particular sus funcionarios y diplomáticos, en este caso India. El ataque contra diplomáticos indios utilizó múltiples vectores para aumentar significativamente las posibilidades de los atacantes de dar en el blanco.
A lo largo de los años, los ciberataques se han convertido en el método popular para cometer delitos geopolíticos. Además del ímpetu político, los atacantes también están cometiendo delitos cibernéticos para obtener una ventaja competitiva para ellos mismos o para sus estados patrocinadores. Este tipo de ataque se dirige específicamente a la infraestructura crítica de una nación.
El ciberataque contra los diplomáticos indios es una amenaza persistente avanzada, que requiere la formación de varios sitios web para llevar a cabo los ataques. Por ejemplo, uno de los vectores de ataque utilizó un archivo adjunto de correo electrónico que contenía documentos RTF armados, que se aprovechaba de un antiguo defecto de Microsoft ActiveX. Esta vulnerabilidad dejó un archivo ejecutable incrustado y portátil para la infección.
El troyano incluye una multitud de exploits que se ejecutan en la computadora del objetivo después de decodificar e incrustar la carga útil. La infección comienza con la aparición de un descargador que introduciría todas las funciones del troyano de acceso remoto en la máquina de la víctima.
Los ataques también utilizan sitios web falsos que pretenden pertenecer a organizaciones de noticias confiables, así como sitios de blogs falsos que, en realidad, solo llevan a los usuarios a cargas útiles maliciosas a través de enlaces que contienen el troyano. Los atacantes también intentaron atraer a las víctimas para que compartieran los vínculos maliciosos con el resto del ejército indio.
