ESET descubrió un componente que utiliza para alcanzar redes de equipos físicamente aislados y robar archivos confidenciales a través de unidades extraíbles.
Buenos Aires, Argentina – Investigadores de ESET han descubierto otra de las actividades del grupo de ciberespionaje Sednitpor la cual atacan computadoras físicamente aisladas. Sednit habría estado usando esta herramienta durante casi diez años con distintos grados de complejidad con el objetivo de atacar las instituciones gubernamentales de Europa Oriental.
Los ataques los realizan a través de una herramienta empleada para extraer información confidencial de las redes que se encuentran aisladas (entre “air gaps”) y que ESET detecta comoWin32/USBStealer. Un air gap es una medida de seguridad de redes que consiste en procurar que una red segura de computadoras esté físicamente aislada de redes inseguras, como Internet público o una red de área local no asegurada debidamente.
No obstante, el uso de unidades extraíbles puede generar nuevas rutas al mundo exterior. Esto es cierto en especial cuando la misma unidad extraíble se enchufa reiteradamente en equipos conectados a Internet y en equipos aislados, como ocurre al transferir archivos.
La infección se transmitedel Equipo A que está conectado a Internet y se infecta inicialmente con el dropper Win32/USBStealery trata de imitar un programa ruso legítimo llamado Disco USB de Seguridad, para controlar la inserción de las unidades extraíbles, mientras que el Equipo B se encuentra físicamente aislado y se infecta con Win32/USBStealer durante el ataque.
El objetivo principal de este tipo de ataques busca la extracción de información confidencial de la víctima directamente desde los sistemas y equipos que no se encuentran conectados a Internet. De esta manera los cibercriminales tratan de sobrepasar ciertas medidas de seguridad para la prevención de casos de fuga de información.
Para más información dirigirse ahttp://www.welivesecurity.com/la-es/2014/11/11/grupo-espionaje-sednit-ataca-redes-aisladas/.
