Entre la amplia actividad de ciberataques que se producen al día en el mundo, algunos buscan espiar a gobiernos y organizaciones. A esto es a lo que se dedica la banda Cicada en China que, según una última investigación, ha ampliado su zona de ataque llegando a varios continentes a través de una herramienta que se encuentra en la mayoría de ordenadores, el reproductor multimedia VLC.
La compañía de seguridad Symantec, ha analizado una serie de ataques a empresas, organizaciones gubernamentales y ONGs de diferentes países. La investigación les ha llevado a dar con una campaña de espionaje de gran tamaño procedente de un grupo de ciberdelincuentes que llevan operando más de 15 años.
Los actores de estos ataques son conocidos como Cicada, aunque también se les atribuyen otros nombres. Desde 2012 habrían conseguido infectar numerosos ordenadores a través de VLC Media Player con un cargador de malware personalizado y así controlar el remoto las máquinas para robar datos e infectar otras redes.
Exportan desde VLC
En esta nueva campaña realizada, los hackers comienzan consiguiendo acceso a una máquina para infectarla después implementando un cargador personalizado con la ayuda del popular reproductor multimedia VLC. El investigador Brigid O Gorman ha explicado a BleepingComputer que en el ataque se usa una versión limpia de VLC con un archivo DLL malicioso por la misma vía que usan las funciones de exportación del reproductor multimedia.
Esta técnica se conoce como carga lateral de DLL, un método que utilizan muchos actores para ocultar la subida de archivos peligrosos y que no sea detectado. Más tarde, se puede implementar un servidor WinVNC con el que los hackers obtienen control remoto sobre los sistemas de las víctimas.
Con ese control, los ciberdelincuentes pueden comprimir, cifrar o archivar documentos dentro del ordenador, incluso pueden ejecutar comandos de forma remota. También usan sistemas para detectar redes conectadas a esa máquina y encontrar otros sistemas. Por último, se han localizado herramientas como NBTScan que usa este grupo de hackers para escanear redes comprometidas.
En varios casos, los investigadores sugieren que el acceso inicial a los ordenadores se consigue a través de "los servidores de Microsoft Exchange, lo que sugiere la posibilidad de que una vulnerabilidad conocida y sin parches en Microsoft Exchange se haya utilizado para obtener acceso a las redes de las víctimas en algunos casos" explican en su informe.
Symantec señala a esta banda en China por el uso de determinadas herramientas cuendo ya han infectado los ordenadores, como por ejemplo, Sodamaster, un programa que se cree que es utilizada exclusivamente por este grupo. Consiste en un malware sin archivos capaz de múltiples funciones como evitar que sena detectados en un entorno limitado al buscar una clave de registro o retrasar la ejecución y ejecutar cargas útiles adicionales.
En 2018, varios miembros de esta banda fueron acusados por la justicia estadounidense de haber ayudado a la Oficina de Seguridad del Estado de Tianjin del Ministerio de Seguridad del Estado (MSS) de China a recabar información confidencial empresas de tecnología y la administración de EEUU. Por su larga historia, a esta banda se la conoce con otros nombres como menuPass, Stone Panda, Potasio, APT10 o Red Apollo.
Múltiples víctimas
La actividad detectada por los investigadores de Symantec han localizado el inicio de la campaña a mediados de 2021 y la última señal de ella data de febrero de 2021 aunque no descartan que pueda seguir en activo actualmente. Algunas de las víctimas descubiertas en la investigación han pasado hasta nueve meses infectadas, según este informe. Estaban relacionadas con gobiernos de muchas partes del mundo, ONGs o empresas de sectores como el de telecomunicaciones, el farmacéutico o el legal.
Lo que más destacan los investigadores es la ampliación del terreno de acción de este grupo. En anteriores ocasiones se habían centrado en atacar principalmente a víctimas de Japón, pero esta vez solo una de la larga lista pertenecía a este país. En su lugar, el resto de máquinas infectadas se localizan en EEUU, Canadá, Hong Kong, Turquía, Israel, India, Montenegro e Italia.
La protección frente a ataques de este tipo es complicada por parte de los usuarios, quienes solo pueden confiar en que las empresas de tecnología detecten las brechas de seguridad que usan estos grupos de delincuencia y las cierren en próximas actualizaciones. Vigilar aquellos mensajes o webs a los que se accede, así como contar con un antivirus, son las medidas que aconsejan la mayoría de expertos.