Ciudad de México a 5 de junio de 2017- FireEye, Inc. (NASDAQ: FEYE), la empresa de seguridad guiada por inteligencia, informó que con operaciones identificadas desde 2014, el grupo APT32 hace intrusiones contra compañías extranjeras de varios sectores, gobiernos e incluso periodistas, a través de un solo conjunto de malware.
El espionaje económico es una amenaza real a empresas que buscan expandirse a otros países y sirve como motivación para grupos de hackers como el APT32, que es responsable de operaciones patrocinadas por el gobierno local contra el sector privado en Vietnam.
Descubierto por los investigadores de FireEye, las acciones fueron con la intención de servir como una base para aplicación de la ley, robo de propiedad intelectual y medidas anticorrupción que pudieran poner fin a las ventajas competitivas de las organizaciones objetivo. Gobiernos y periodistas también eran blanco de este grupo que continúa amenazando el activismo político y la libertad de expresión en el sureste de Asia y el sector público alrededor del mundo.
Desde su comienzo en 2014, el APT32 ha estado realizando operaciones segmentadas que están en línea con los intereses del gobierno vietnamita, a través de un conjunto integrado de malware, de acuerdo al estimado de FireEye, que además apunta al prestigio de riesgo para compañías que tienen o están preparadas para hacer negocios e inversiones en el país.
Perfil de los ataques
Las intrusiones fueron identificadas en empresas extranjeras con intereses en los sectores de manufactura, productos de consumo y hotelería en Vietnam, así como organizaciones en sectores de la infraestructura de seguridad de red, la infraestructura de tecnología periférica y consultoras de relaciones con inversionistas extranjeros.
La primera amenaza es de 2014 y fue contra una empresa europea antes de iniciar la construcción de una fábrica en el país. En los siguientes años los objetivos fueron industrias de tecnología, medios de comunicación y bancos. Los más recientes, entre 2016 y 2017, se enfocaron en el sector hotelero, productos de consumo y consultoría.
Cómo ocurre el ataque
Los responsables por el APT32 han usado varias técnicas innovadoras, con rastreo, monitoreo de distribución y establecimiento de mecanismos persistentes de phishing.
Despliegue de malware distintivo, con capacidad para desplegar recursos y personalizar una serie de backdoors, son desplegados. Creando documentos de atracción en múltiples idiomas, hechos para víctimas específicas, APT32 entrega archivos adjuntos maliciosos vía emails de phishing. Cuando son abiertos, los archivos de atracción despliegan mensajes de error falsos intentando confundir a los usuarios.
Después de acceder, el APT32 borra las entradas de eventos regulares en la bitácora y ofusca las herramientas en el framework, también crea tareas programadas como mecanismos de persistencia para las backdoors del sistema infectado.
Conclusión
Desde 2014, las nuevas maneras en que APT32 ha estado implementando son observadas para comprometer sistemas de empresas multinacionales que tienen un interés en trabajar en Vietnam. Desde la forma de una intrusión innovadora, confusión e incluso análisis, el ATP32 también representa un significativo avance en las más fuertes actividades de espionaje económico de China.
Esta acción apunta a la relevancia del ciberespionaje a las esferas públicas/gubernamentales, así como el cambio en el diálogo cibernético para enfocarse en el espionaje político global, en el año pasado.
El desempeño de ATP demuestra lo accesible e impactante que algunos recursos ofensivos pueden tener cuando se alinean con las inversiones apropiadas y la flexibilidad para adoptar nuevas herramientas y técnicas. Conforme más países usan ciber operaciones eficientes y de bajo costo, está la necesidad para la consciencia pública de estas amenazas y un diálogo renovado en intrusiones en naciones emergentes que van más allá del sector público y objetivos de inteligencia.
Para más información y para obtener el reporte complete, por favor visite: http://bit.ly/2pAm8Xx.
