Un exhaustivo trabajo de investigación realizado por la empresa de Seguridad Informática Trend Micro explicó el funcionamiento de una serie de ataques dirigidos directamente a Fuerzas Armadas y a distintas empresas contratistas del Area de Defensa de diferentes países.
Bautizado como «Operación Pawn Storm”, el grupo de agentes de amenazas conectadas utiliza tres tipos de ataque conocidos:
- Emails de spear phishing que cargan malware de varias etapas. Esta técnica consiste en el envío de un correo electrónico que aparenta ser de una persona o empresa conocida, pero que no lo es.
- Una red de páginas web de phishing que utilizan dominios typosquatted, es decir, los errores tipográficos que se comenten a la hora de introducir en un navegador la URL de una página web de modo que, al usuario que accidentalmente introduzca una dirección web incorrecta, se le mostrará una información alternativa en una página web distinta, gestionada por un cybersquatter, y que no se corresponde con la página realmente buscada.
- Un truco OWA inteligente, pero simple, para engañar a las víctimas e inyectar iframes maliciosos en sitios web legítimos.
PRIMER VECTOR DE ATAQUE: CORREOS ELECTRÓNICOS DE SPEAR PHISHING
En el primer vector de ataque, el grupo de atacantes parece haber empleado la técnica de envíos de emails de spear phishing con un documento malicioso adjunto. Dicho documento malicioso instala un malware de múltiples etapas que registra y recopila información sobre sus víctimas objetivo.
También parece que la elección del momento para el envío de estos emails fue crucial para llevar a cabo este ataque: los correos electrónicos se enviaron a los destinatarios días o semanas antes de la celebración de ciertos encuentros y reuniones políticas mundiales, como el Foro de Cooperación Económica Asia-Pacífico (APEC) o la Cumbre de Seguridad Nacional de Oriente Medio 2014. Estos correos electrónicos fueron enviados a empleados de contratistas de defensa y agencias gubernamentales, que podrían están interesados en las próximas conferencias y encuentros.
SEGUNDO VECTOR DE ATAQUE: PÁGINAS WEB DE PHISHING
Los investigadores de Trend Micro han descubierto que los atacantes que están detrás de la Operación Pawn Storm han construido, además, una red de sitios web de phishing y cuentas de webmail de Outlook corporativas para acceder mediante la utilización de nombres incorrectos o nombres de dominio escritos con algún error tipográfico, método conocido como typosquatting (por ejemplo: el sitio original es eurosatory.com frente al sitio de phishing eurosatory2014.com).
El “typosquatting” es una técnica que también se utiliza para engañar a las víctimas haciéndoles creer que los dominios son legítimos, dando así a los atacantes la oportunidad de recopilar credenciales corporativas de sus víctimas. Los objetivos se llevaron a los nombres de dominio typosquatted que se asemejan a un sitio de noticias legítimo o al sitio de una conferencia a través de emails de spear phishing (sin archivos adjuntos maliciosos). Cuando los correos electrónicos quedan abiertos en Outlook Web Access (OWA) en el panel de vista previa, los objetivos son propensos a ser víctimas de un ataque de phishing avanzado.
TERCER VECTOR DE ATAQUE: IFRAMES MALICIOSOS
En la Operación Pawn Storm los iframes maliciosos que apuntan a exploits muy selectivos han sido inyectados en los sitios web del gobierno Polaco. Para los objetivos seleccionados los exploits permiten instalaciones de Sednit también.
