PLATINUM es el nombre dado por Microsoft a un colectivo de ciberdelincuencia activo contra gobiernos y organizaciones relacionadas en el sur y sudeste de Asia . [1] Son reservados y no se sabe mucho sobre los miembros del grupo. [2] La habilidad del grupo significa que sus ataques a veces pasan sin ser detectados durante muchos años. [1]
El grupo, considerado una amenaza persistente avanzada , ha estado activo desde al menos 2009, [3] apuntando a víctimas a través de ataques de spear-phishing contra direcciones de correo electrónico privadas de funcionarios gubernamentales, exploits de día cero y vulnerabilidades de parches en caliente. [4] [5] Al obtener acceso a las computadoras de sus víctimas, el grupo roba información económicamente sensible. [1]
PLATINUM logró mantener un perfil bajo hasta que su abuso del sistema de parcheo en caliente de Microsoft Windows fue detectado y reportado públicamente en abril de 2016. [2] Este método de parcheo en caliente les permite usar las características propias de Microsoft para parchear, alterar archivos o actualizar una aplicación rápidamente. , sin reiniciar el sistema por completo, de esta manera, pueden mantener los datos que han robado mientras enmascaran su identidad. [2]
En junio de 2017, PLATINUM se destacó por explotar las capacidades de serial over LAN (SOL) de la tecnología de administración activa de Intel para realizar la exfiltración de datos. [6] [7] [8] [9] [10] [11] [12] [13]
Técnicas de PLATINUM
Se sabe que PLATINUM explota complementos web , en un momento se infiltró en las computadoras de varios funcionarios del gobierno indio en 2009, utilizando un sitio web que brindaba un servicio de correo electrónico. [ aclaración necesaria ] [1]
Una vez que tienen el control de la computadora de un objetivo, los actores de PLATINUM pueden moverse a través de la red del objetivo utilizando módulos de malware especialmente construidos . Estos han sido escritos por uno de los múltiples equipos que trabajan bajo el paraguas del grupo Platinum, o podrían haberse vendido a través de cualquier número de fuentes externas con las que Platinum ha estado tratando desde 2009. [1]
Debido a la diversidad de este malware, cuyas versiones tienen poco código en común, los investigadores de Microsoft lo han clasificado en familias. [1]
El malware más utilizado por PLATINUM fue apodado Dispind por Microsoft. [1] Esta pieza de malware puede instalar un keylogger , una pieza de software que registra (y también puede inyectar) las pulsaciones de teclas. [ cita requerida ]
PLATINUM también usa otro malware como "JPIN" que se instala en la carpeta% appdata% de una computadora para que pueda obtener información, cargar un keylogger, descargar archivos y actualizaciones y realizar otras tareas como extraer archivos que podrían contener información sensible. [1]
"Adbupd" es otro programa de malware utilizado por PLATINUM y es similar a los dos mencionados anteriormente. Es conocido por su capacidad para admitir complementos, por lo que puede especializarse, lo que lo hace lo suficientemente versátil como para adaptarse a varios mecanismos de protección. [1]
Exploit de Intel
En 2017, Microsoft informó que PLATINUM había comenzado a explotar una característica de las CPU de Intel . [14] La característica en cuestión es AMT Serial-over-LAN (SOL) de Intel, que permite a un usuario controlar remotamente otra computadora, sin pasar por el sistema operativo host del objetivo, incluidos los firewalls y las herramientas de monitoreo dentro del sistema operativo host. [14]
Seguridad
Microsoft aconseja a los usuarios que apliquen todas sus actualizaciones de seguridad para minimizar las vulnerabilidades y mantener los datos altamente confidenciales fuera de las grandes redes. [1] Dado que PLATINUM se dirige a organizaciones, empresas y sucursales gubernamentales para adquirir secretos comerciales, cualquier persona que trabaje en o con dichas organizaciones puede ser un objetivo para el grupo. [15]
Ver también
Referencias
- ^ a b c d e f g h i j "Ataques dirigidos a PLATINUM en el sur y el sudeste de Asia (PDF)" (PDF) . Equipo avanzado de búsqueda de amenazas de Windows Defender (Microsoft). 2016 . Consultado el 10 de junio de 2017 .
- ^ a b c Osborne, Charlie. "Platinum hacking group abusa del sistema de parcheo de Windows en campañas activas | ZDNet" . ZDNet . Consultado el 9 de junio de 2017 .
- ^ Eduard Kovacs (8 de junio de 2017). " " Platinum "Cyberspies abusan de Intel AMT para evadir la detección" . SecurityWeek.Com . Consultado el 10 de junio de 2017 .
- ^ Eduard Kovacs (27 de abril de 2016). " Hotpatching de abuso de Cyberspies " Platinum "en ataques de Asia" . SecurityWeek.Com . Consultado el 10 de junio de 2017 .
- ^ msft-mmpc (26 de abril de 2016). "Profundizando en PLATINUM - Seguridad de Windows" . Blogs.technet.microsoft.com . Consultado el 10 de junio de 2017 .
- ^ Peter Bright (9 de junio de 2017). "Los hackers astutos utilizan las herramientas de administración de Intel para eludir el firewall de Windows" . Ars Technica . Consultado el 10 de junio de 2017 .
- ^ Tung, Liam (22 de julio de 2014). "Firewall de Windows esquivado por espías de 'parcheo en caliente' usando Intel AMT, dice Microsoft" . ZDNet . Consultado el 10 de junio de 2017 .
- ^ msft-mmpc (7 de junio de 2017). "PLATINUM continúa evolucionando, encuentra formas de mantener la invisibilidad - Seguridad de Windows" . Blogs.technet.microsoft.com . Consultado el 10 de junio de 2017 .
- ^ Catalin Cimpanu (8 de junio de 2017). "Malware utiliza característica de CPU Intel oscura para robar datos y evitar cortafuegos" . Bleepingcomputer.com . Consultado el 10 de junio de 2017 .
- ^ Juha Saarinen (8 de junio de 2017). "Los piratas informáticos abusan de la función de gestión de bajo nivel para una puerta trasera invisible: seguridad" . iTnews . Consultado el 10 de junio de 2017 .
- ^ Richard Chirgwin (8 de junio de 2017). "Vxers explota la gestión activa de Intel para malware a través de LAN. Ataque platino detectado en Asia, necesita credenciales de administrador" . El registro . Consultado el 10 de junio de 2017 .
- ^ Christof Windeck (9 de junio de 2017). "Intel-Fernwartung AMT bei Angriffen auf PCs genutzt | heise Security" . Heise.de . Consultado el 10 de junio de 2017 .
- ^ "Método de transferencia de archivos del grupo de actividades PLATINUM utilizando Intel AMT SOL | Blog de seguridad de Windows | Canal 9" . Channel9.msdn.com. 2017-06-07 . Consultado el 10 de junio de 2017 .
- ^ a b "El grupo de piratas informáticos Platinum utiliza Intel AMT" , Tad Group , 25 de septiembre de 2017
- ^ Liu, Jianhong (15 de julio de 2017). Criminología comparada en Asia . Saltador. ISBN 9783319549422.