En los últimos años, han aparecido informes que detallan las actividades y actores detrás de varios ataques persistentes o APT. En Symantec Security Response hemos seguido de cerca a un grupo que consideramos entre los mejores de su clase, lo denominamos como “Hidden Lynx” (lince escondido) por una cadena encontrada en las comunicaciones de servidores de control y comandos. “Hidden Lynx” es un grupo con un impulso y deseo que superan a otros grupos muy conocidos, tales como APT1/Comment Crew. Las principales características de este grupo son:
- habilidades técnicas
- agilidad
- organización
- inventiva
- paciencia
Estos atributos se ven en las fuertes campañas y ataques que han realizado contra múltiples blancos en simultáneo durante un período de tiempo ininterrumpido. El grupo es pionero de la técnica "watering hole" que se utiliza para emboscar a los blancos o víctimas. Tienen acceso temprano a vulnerabilidades de día cero, además de la tenacidad y paciencia de un cazador inteligente para comprometer la cadena de suministros y así llegar a su blanco real. Estos ataques a las cadenas de suministro se llevan a cabo infectando computadoras de un proveedor del blanco planeado y luego esperando a que las computadoras infectadas se instalen y contacten a su base. Claramente, estas son acciones calculadas y no incursiones impulsivas de amateurs.
Asimismo, el grupo no se limita a un conjunto de blancos pequeño, sino que atacan a cientos de organizaciones distintas en muchos países diferentes, incluso al mismo tiempo. Dada la amplitud y el número de blancos y países involucrados, es muy probable que la organización esté formada por hackers profesionales contratados por clientes para obtener información. Ellos roban lo que sea que les pueda interesar a sus clientes bajo pedido. De ahí la gran variedad y amplitud de blancos.
También creemos que para llevar a cabo ataques a esta escala, el grupo debe tener una experiencia considerable de hackeo a su disposición, tal vez entre 50 y 100 empleados organizados en por lo menos dos equipos que llevan a cabo distintas actividades con diferentes herramientas y técnicas. Los tipos de ataques identificados requieren tiempo y esfuerzo para desplegarse, y en algunos casos, las campañas requieren de recolección de inteligencia y una investigación antes de articular los ataques con éxito.
Al frente de este grupo hay un equipo que utiliza herramientas desechables junto con técnicas básicas pero efectivas para atacar a muchos blancos distintos. También pueden actuar como recaudadores de inteligencia. Hemos llamado a este equipo el “Equipo Moudoor”, por el nombre del troyano que utilizan. “Moudoor” es un troyano de puerta trasera que el equipo utiliza con libertad, sin preocuparse por ser descubierto por las empresas de seguridad. Un segundo equipo actúa como una unidad de operaciones especiales, personal de élite, que se dedica a los blancos más valiosos o más resistentes. El equipo de élite usa un troyano llamado Naid y por eso nos referimos a él como “Equipo Naid”. A diferencia de “Moudoor”, el troyano “Naid” se usa moderadamente y con cuidado para evitar detección y captura. Funciona como un arma secreta que solamente se utiliza cuando fallar no es una opción.
Según nuestra investigación, desde 2011 el grupo realizó al menos seis campañas importantes, de las cuales la más notable es la campaña de ataque VOHO descubierta a mediados de 2012. Lo especialmente interesante de este ataque fue el uso de la técnica de “watering hole” y que se comprometió la infraestructura confiable de registro de archivos de Bit9. La campaña VOHO tenía como objetivo final atacar contratistas de defensa de los Estados Unidos cuyos sistemas estuvieran protegidos por el software de seguridad basado en archivos confiables de Bit9. Cuando el progreso de los atacantes de “Hidden Lynx” se vio bloqueado por este obstáculo, reconsideraron sus opciones y descubrieron que la mejor manera de esquivar la protección era comprometer el propio centro de la protección y usarlo para sus propósitos. Así que eso fue exactamente lo que hicieron cuando dirigieron su atención a Bit9 y atravesaron sus sistemas. Una vez adentro, los atacantes rápidamente encontraron el camino a la estructura de registro de archivos que era la piedra fundamental del modelo de protección de Bit9 y luego usaron el sistema para registrar una serie de archivos de malware, mismos que después se usaron para vulnerar a los blancos planeados.
Para aquellos interesados en obtener más información sobre esta investigación, hemos publicado un informe que describe al grupo y los ataques que han realizado.
También compartimos a continuación una infografía con datos clave sobre el prolífico grupo “Hidden Lynx”.