Las entidades gubernamentales de la región Asia-Pacífico (APAC) son el objetivo de una campaña de ciberespionaje de larga duración denominada Tetris Fantasma.
«El atacante espió encubiertamente y recopiló datos confidenciales de entidades gubernamentales de APAC mediante la explotación de un tipo particular de unidad USB segura, protegida por cifrado de hardware para garantizar el almacenamiento y la transferencia seguros de datos entre sistemas informáticos», Kaspersky dicho en su informe de tendencias APT para el tercer trimestre de 2023.
La firma rusa de ciberseguridad, que detectó la actividad en curso a principios de 2023, dijo que las unidades USB ofrecen cifrado de hardware y son utilizadas por organizaciones gubernamentales de todo el mundo para almacenar y transferir datos de forma segura, lo que plantea la posibilidad de que los ataques se expandan en el futuro hasta tener un alcance global. huella.
La intrusión clandestina no ha sido vinculada a ningún actor o grupo de amenaza conocido, pero el alto nivel de sofisticación de la campaña apunta a un equipo de un estado-nación.
«Estas operaciones fueron realizadas por un actor de amenazas altamente capacitado e ingenioso, con un gran interés en actividades de espionaje dentro de redes gubernamentales sensibles y salvaguardadas», dijo Noushin Shabab, investigador senior de seguridad de Kaspersky. dicho. «Los ataques fueron muy selectivos y tuvieron un número bastante limitado de víctimas».
Un sello clave de la campaña es el uso de varios módulos maliciosos para ejecutar comandos y recopilar archivos e información de las máquinas comprometidas y propagar la infección a otras máquinas utilizando la misma u otras unidades USB seguras como vector.
Los componentes de malware, además de autorreplicarse a través de unidades USB seguras conectadas para violar redes aisladas, también son capaces de ejecutar otros archivos maliciosos en los sistemas infectados.
«El ataque comprende herramientas y técnicas sofisticadas», dijo Kaspersky, añadiendo que las secuencias de ataque también implicaban la «inyección de código en un programa de gestión de acceso legítimo en la unidad USB que actúa como cargador del malware en una nueva máquina».
La divulgación se produce cuando un nuevo y desconocido actor de amenaza persistente avanzada (APT) ha sido vinculado a una serie de ataques dirigidos a entidades gubernamentales, contratistas militares, universidades y hospitales en Rusia a través de correos electrónicos de phishing que contienen documentos de Microsoft Office con trampas explosivas.
«Esto inicia un esquema de infección de múltiples niveles que conduce a la instalación de un nuevo troyano, que está diseñado principalmente para extraer archivos de la máquina de la víctima y obtener control mediante la ejecución de comandos arbitrarios», dijo Kaspersky.
Los ataques, denominados en código BadRory por la empresa, se desarrollaron en forma de dos oleadas: una en octubre de 2022 y otra en abril de 2023.