Prensa.
Comstatrowland.
El
Laboratorio Investigación de ESET rastreó actividades maliciosas relacionadas
con el grupo Ke3chang y el malware Okrum, cuyo objetivo fueron misiones
diplomáticas en Brasil, Chile, Guatemala, Bélgica y Eslovaquia. ESET, compañía
líder en detección proactiva de amenazas, descubrió al grupo de
ciberdelicuentes que se encuentra detrás de los ataques informáticos a las
misiones diplomáticas europeas y latinoamericanas.
Los
análisis del laboratorio de ESET concluyen que el malware Ketrican, responsable
del ataque a diferentes delegaciones en 2015, y el malware Okrum, cuyos ataques
sucedieron a lo largo de 2017, están relacionados. La compañía identificó
nuevas versiones de las familias de malware creadas por el grupo Ke3chang, así
como una nueva puerta trasera o backdoor, que permite acceder remotamente a
sistemas informáticos vulnerados, desarrollado también por ese grupo de
ciberdelincuentes. ESET lleva investigando desde hace varios años las
actividades de este grupo criminal, que parece operar desde China.
El
backdoor encontrado por los investigadores de ESET, denominado Okrum, fue
detectado por primera vez a finales de 2016 y se ha observado su actividad
contra misiones gubernamentales y diplomáticas en Bélgica, Eslovaquia, Brasil,
Chile y Guatemala.
“Empezamos
a unir los hilos cuando descubrimos que el backdoor Okrum estaba siendo
utilizado para lanzar el backdoor Ketrican, compilado en 2017. Además, nos
dimos cuenta de que algunas de las misiones diplomáticas que estaban siendo
atacadas por Okrum también habían sido objetivo de Ketrican en 2015”, afirma
Zuzana Hromcova, la investigadora de ESET que realizó estos descubrimientos.
La
investigación se inició en 2015, cuando detectaron actividades sospechosas de
un malware presente en diferentes países europeos. Según las primeras
hipótesis, el grupo de ciberdelincuentes parecía tener especial interés en
Eslovaquia, aunque sus ataques también afectaban a Croacia, a la República Checa
y a otros países. Una vez analizado el malware, los investigadores de ESET
identificaron como responsables al grupo Ke3chang y nombraron a estas nuevas
versiones de malware como Ketrican. En 2016, ESET descubrió una amenaza
desconocida hasta la fecha pero que tenía los mismos objetivos que Ketrican en
Eslovaquia. A este backdoor, que estuvo activo a lo largo de 2017, y ESET lo
denominó Okrum.
Cronología
de la actividad del grupo Ke3chang previamente documentada y las detecciones de
ESET relacionadas con la investigación.
Los
ciberdelincuentes utilizaban un archivo de imagen PNG aparentemente inofensivo
que incluso podía ser abierto por un visor de imágenes sin levantar sospechas.
Sin embargo, el malware extraía de dicho archivo su carga maliciosa para completar
el ataque a su objetivo.
Los
ciberdelincuentes intentaban ocultar el tráfico que generaba el malware contra
su servidor de mando y control camuflándolo como si fuese tráfico habitual,
utilizando nombres de dominio aparentemente legítimos. Finalmente, cada poco
mes los criminales modificaban la forma en que se instalaba, y cargaba Okrum y
sus componentes para evitar su detección. Hasta el momento, ESET ha descubierto
siete versiones diferentes del cargador y dos del instalador, que incluían las
mismas funcionalidades.