El grupo de espionaje Sednit ataca redes seguras aisladas
Investigadores de ESET han descubierto otra de las actividades del grupo de ciberespionaje Sednit por la cual atacan computadoras físicamente aisladas. Sednit habría estado usando esta herramienta durante casi diez años con distintos grados de complejidad con el objetivo de atacar las instituciones gubernamentales de Europa Oriental.
Los ataques los realizan a través de una herramienta empleada para extraer información confidencial de las redes que se encuentran aisladas (entre «air gaps») y que ESET detecta como Win32/USBStealer. Un air gap es una medida de seguridad de redes que consiste en procurar que una red segura de computadoras esté físicamente aislada de redes inseguras, como Internet público o una red de área local no asegurada debidamente.
No obstante, el uso de unidades extraíbles puede generar nuevas rutas al mundo exterior. Esto es cierto en especial cuando la misma unidad extraíble se enchufa reiteradamente en equipos conectados a Internet y en equipos aislados, como ocurre al transferir archivos.
La infección se transmite del Equipo A que está conectado a Internet y se infecta inicialmente con el dropper Win32/USBStealer y trata de imitar un programa ruso legítimo llamado Disco USB de Seguridad, para controlar la inserción de las unidades extraíbles, mientras que el Equipo B se encuentra físicamente aislado y se infecta con Win32/USBStealer durante el ataque.
El objetivo principal de este tipo de ataques busca la extracción de información confidencial de la víctima directamente desde los sistemas y equipos que no se encuentran conectados a Internet. De esta manera los cibercriminales tratan de sobrepasar ciertas medidas de seguridad para la prevención de casos de fuga de información.
Fuente: welivesecurity.com