Hablando de ataques, de Hacktivismo y del peligro que puede significarle una empresa, es imposible no hacer referencia a “Hidden Lynx” un grupo hackers profesionales con capacidades avanzadas que apunta básicamente a entidades bancarias. Este grupo de delincuentes informáticos no se limita a un conjunto de blancos pequeño, sino que ataca a cientos de organizaciones distintas en muchos países diferentes, incluso al mismo tiempo. Dada la amplitud y el número de blancos y países involucrados, es muy probable que la organización esté conformada por entre 50 y 100 hackers profesionales contratados por clientes para obtener información. En esta nota, analizamos cómo opera Hidden Lynx y lo declaramos: Es hora de hacer negocios de se seguridad con clientes de la banca.
Por Pamela Stupia
Redacción ITSitio
Según una investigación de Symantec sobre “Hidden Lynx”, un grupo hackers profesionales con capacidades avanzadas, destaca su sofisticación y señala que han realizado campañas y ataques contra múltiples blancos en simultáneo durante un período de tiempo ininterrumpido
Denominado como “Hidden Lynx”, este grupo de hackers a sueldo provee un servicio completo y personalizado de métodos de ataque para llevar a cabo tareas específicas como la recolección de información de una amplia gama de blancos tanto corporativos, como gubernamentales. Los atacantes se aprovechan de vulnerabilidades de “día cero” y emplean técnicas como “watering hole” para emboscar a los blancos o víctimas en la cadena de suministros para después llegar a su objetivo real.
El informe revela que “Hidden Lynx” no se limita a un conjunto de blancos pequeño, sino que ataca a cientos de organizaciones distintas en muchos países diferentes, incluso al mismo tiempo. Desde Symantec creen que que para llevar a cabo ataques a esta escala, el grupo debe tener una experiencia considerable de hackeo a su disposición, tal vez entre 50 y 100 empleados organizados en por lo menos dos equipos que llevan a cabo distintas actividades con diferentes herramientas y técnicas. Los tipos de ataques identificados requieren tiempo y esfuerzo para desplegarse, y en algunos casos, las campañas requieren de recolección de inteligencia y una investigación antes de articular los ataques con éxito.
Al frente de este grupo hay un equipo que utiliza herramientas desechables junto con técnicas básicas pero efectivas para atacar a muchos blancos distintos. También pueden actuar como recaudadores de inteligencia. Hemos llamado a este equipo el “Equipo Moudoor”, por el nombre del troyano que utilizan. “Moudoor” es un troyano de puerta trasera que el equipo utiliza con libertad, sin preocuparse por ser descubierto por las empresas de seguridad. Un segundo equipo actúa como una unidad de operaciones especiales, personal de élite, que se dedica a los blancos más valiosos o más resistentes. El equipo de élite usa un troyano llamado Naid y por eso nos referimos a él como “Equipo Naid”. A diferencia de “Moudoor”, el troyano “Naid” se usa moderadamente y con cuidado para evitar detección y captura. Funciona como un arma secreta que solamente se utiliza cuando fallar no es una opción.
Según la investigación, desde 2011 el grupo realizó al menos seis campañas importantes, de las cuales la más notable es la campaña de ataque VOHO descubierta a mediados de 2012. Lo especialmente interesante de este ataque fue el uso de la técnica de “watering hole” y que se comprometió la infraestructura confiable de registro de archivos de Bit9. La campaña VOHO tenía como objetivo final atacar contratistas de defensa de los Estados Unidos cuyos sistemas estuvieran protegidos por el software de seguridad basado en archivos confiables de Bit9. Cuando el progreso de los atacantes de “Hidden Lynx” se vio bloqueado por este obstáculo, reconsideraron sus opciones y descubrieron que la mejor manera de esquivar la protección era comprometer el propio centro de la protección y usarlo para sus propósitos. Así que eso fue exactamente lo que hicieron cuando dirigieron su atención a Bit9 y atravesaron sus sistemas. Una vez adentro, los atacantes rápidamente encontraron el camino a la estructura de registro de archivos que era la piedra fundamental del modelo de protección de Bit9 y luego usaron el sistema para registrar una serie de archivos de malware, mismos que después se usaron para vulnerar a los blancos planeados.
Otros puntos destacados de la investigación son:
• Hidden Lynx es un grupo agresivo, sofisticado y con mucha determinación. Tiene la capacidad de atacar a algunas de las organizaciones más protegidas del mundo mediante el uso de técnicas de última generación.
• En junio de 2012 este grupo comprometió la seguridad del código de la firma digital Bit9´s como una estrategia para llegar a sus objetivos finales.
• Su motivación parece ser económica
• “Hidden Lynx” está relacionado con la "Operación Aurora"
