Grupo de ciberespionaje roba datos militares y diplomáticos venezolanos

Según un informe reciente publicado por ESET, el grupo de ciberespionaje »Machete» ha estado robando información confidencial del ejercito venezolano. Los ciberespías han estado activos desde el 2010, y ahora han centrado sus esfuerzos en el país latinoamericano. ESET señaló que durante marzo y mayo de este año observaron al menos 50 computadores infectados en […]

Según un informe reciente publicado por ESET, el grupo de ciberespionaje »Machete» ha estado robando información confidencial del ejercito venezolano. Los ciberespías han estado activos desde el 2010, y ahora han centrado sus esfuerzos en el país latinoamericano.

ESET señaló que durante marzo y mayo de este año observaron al menos 50 computadores infectados en contacto con los servidores de Machete de Comando y Control (C&C).

Alrededor del 75% de estas infecciones se ubicaron en Venezuela, y más de la mitad de las computadoras infectadas pertenecían al ejército venezolano.

«Los atacantes extraen tipos de archivos especializados utilizados por el software de sistemas de información geográfica (GIS)», señalan investigadores de la compañía. «El grupo está específicamente interesado en los archivos que describen rutas de navegación y posicionamiento utilizando cuadrículas militares».

Además de Venezuela, el grupo Machete también se ha dirigido a países vecinos. ESET dijo que el ejército ecuatoriano también ha sido un objetivo.

Tácticas

No es nada nuevo, al contrario, se siguen valiendo de estrategias como atacar mediante Phishing.

Y bueno, la mayoría de los grupos de ciberespionaje operan de esta manera. La única novedad aquí, según ESET, es que Machete usa documentos reales que han sido robados de ataques anteriores.

El grupo tiene gusto por el uso de radiogramas (radiografías), que son documentos específicos utilizados para las comunicaciones dentro de las fuerzas armadas de todo el mundo.

Cuando los documentos son abiertos infectann a las víctimas con el malware del grupo, un troyano backdoor. Según ESET, el grupo ha estado utilizando una nueva versión de su malware durante más de un año, diferente de la anterior vista en ataques anteriores (documentado previamente por Kaspersky y Cylance).

«Las versiones anteriores de Machete tenían capacidades similares para robar información e infraestructura similar, pero diferencias en cómo se entregaba el malware, en el código y también en los objetivos. Parece que las versiones anteriores de Machete no estaban tan dirigidas en América Latina como lo están ahora «, mencionaron desde ESET.

¿Quiénes son Machete? No se sabe con exactitud, pero desde Kaspersky, y otras compañías de seguridad, creen que puede ser un grupo de habla hispana, no se sabe tampoco si son un APT financiada por un Estado o un grupo independiente.