Detección de actividades y campañas de Blind Eagle en México
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
La unidad de investigación de SILIKN ha emitido una alerta por la detección de actividades y campañas de Blind Eagle en México.
Desde abril de 2018, el grupo delictivo conocido como Blind Eagle o APT-C-36, y de presunto origen sudamericano, es sospechoso de llevar a cabo continuos ataques dirigidos contra instituciones del gobierno colombiano, así como importantes corporaciones de dicho país en el sector financiero, industria petrolera, manufactura profesional, etcétera.
De acuerdo con los datos recopilados por la unidad de investigación de SILIKN, Blind Eagle se centra en la inteligencia de nivel estratégico y también en robar secretos comerciales e industriales y de propiedad intelectual.
A pesar de que los analistas han detectado y revelado los ataques de Blind Eagle, en los últimos dos años, el grupo no sólo no ha detenido sus actividades, sino que sus ataques se han vuelto cada vez más intensos.
Un análisis de la unidad de investigación de SILIKN reporta que, si bien, Blind Eagle ha atacado en fechas pasadas a objetivos de Colombia, también ha logrado impactar organizaciones de Ecuador, Chile, España, Panamá y ahora México.
Blind Eagle ha usurpado la identidad de la Dirección Nacional de Impuestos y Aduanas, el Registro Nacional Civil de Colombia, Migración, la Oficina de Asistencia y el Departamento Judicial Nacional de Colombia, por mencionar algunos, para atacar a las propias instituciones de gobierno y empresas de este país.
De igual forma, Blind Eagle, está lanzando una campaña similar contra organizaciones e instituciones del gobierno en México, cuyo objetivo es distribuir e infectar a las víctimas con un malware tipo RAT, el cual permite a los atacantes realizar diferentes acciones en los dispositivos infectados, que van desde el robo de contraseñas e información, hasta capturas de pantalla y grabaciones de audio, para posteriormente enviar esta información a los servidores de los cibercriminales.
Por lo anterior, la unidad de investigación de SILIKN ha lanzado un aviso pues se ha detectado que Blind Eagle, con la finalidad de incrementar su número de víctimas, se encuentra desarrollando una campaña mediante la cual usurpa la identidad de algunos de los siguientes organismos de gobierno:Secretaría de Hacienda y Crédito Público Procuraduría
Fiscal de la Federación Tesorería de la Federación (Tesofe)
Unidad de Inteligencia Financiera (UIF)
Unidad de Banca, Valores y Ahorro
Servicio de Administración Tributaria (SAT)
Administración General de Aduanas de México (Aduanas)
Comisión Nacional Bancaria y de Valores (CNBV)
Comisión Nacional del Sistema de Ahorro para el Retiro (Consar)
Comisión Nacional de Seguros y Fianzas (CNSF)
Banco Nacional del Ejército, Fuerza Aérea y Armada (Banjército)
Banco Nacional de Comercio Exterior Instituto de Administración y Avalúos de Bienes Nacionales (INDAABIN)
Se sospecha que Blind Eagle es un grupo de habla hispana debido al uso del idioma en sus correos electrónicos de phishing. Sin embargo, actualmente no está claro dónde se encuentra el grupo delictivo y si sus ataques están motivados por espionaje o por ganancias financieras.
De acuerdo con los análisis, los atacantes tienen como objetivo la plataforma Windows y utilizan correos electrónicos de phishing con archivos adjuntos de extensión RAR (archivos comprimidos), protegidos con contraseña para evitar ser detectados. Cabe señalar que los correos de phishing utilizan señuelos que instan a los destinatarios a liquidar obligaciones pendientes en temas de recaudación de impuestos. El propósito de los criminales es implantar una puerta trasera y afianzarse en la red objetivo, lo que puede facilitar la implementación del movimiento lateral de seguimiento.
De igual forma, Blind Eagle utiliza enlaces hacia archivos de formato PDF, los cuales — una vez que las víctimas hacen clic en dicho enlace — redirigen al usuario a un sitio web malicioso y lo engañan para que descarguen programas con malware. Los archivos que se descargan tienen nombres en español que inducen a los usuarios a ejecutar el troyano LimeRAT que permite la comunicación con el servidor de comando y control del grupo criminal para realizar la función de robo de información.
Para más información, visite: https://www.silikn.com/