Un grupo estatal de ciberespionaje vinculado a la India ha ampliado sus objetivos más allá de sus rivales regionales en Pakistán, Afganistán, China y Nepal y se está centrando en comprometer computadoras y redes en instalaciones marítimas en países tan lejanos como el Mar Mediterráneo.
El grupo, conocido como SideWinder, Razor Tiger y Rattlesnake, lleva a cabo regularmente ataques de phishing utilizando imágenes de documentos que parecen oficiales. En sus últimas campañas, SideWinder ha falsificado documentos de puertos específicos, incluido el puerto de Alejandría en Egipto, con temas de gran interés como despidos y recortes salariales. dijeron los investigadores de BlackBerry en un aviso publicado recientemente.
Aunque el grupo generalmente se centra en sus rivales más cercanos y es menos prolífico que otros ciberespías, la campaña actual sugiere que ha ampliado su objetivo, dice Ismael Valenzuela, vicepresidente de investigación e inteligencia de amenazas de BlackBerry.
“Esta es la primera vez que vemos a SideWinder apuntar a puertos e instalaciones marítimas en EMEA”, afirma. “Estamos viendo muchas turbulencias geopolíticas y [changing] “Los entornos globales están plagados de tensiones sobre una amplia variedad de cuestiones. Esto a menudo incentiva a los grupos amenazadores y a los Estados a atacar específicamente activos críticos, como los de la industria marítima. »
La industria marítima es cada vez más blanco de ciberataques, lo que supone un grave peligro para los buques y los puertos. En 2019, la Guardia Costera de EE. UU. advirtió a las compañías navieras que ataques a sus sistemas podría provocar accidentes y desastres. Durante el año pasado, tras un aumento Operaciones cibernéticas chinas contra infraestructuras críticas, incluidos los sistemas marítimos en el Mar de China Meridional y sus alrededores, varios países de la región de Asia y el Pacífico han agrupados para proteger sus redes y sistemas.
Las alertas cibernéticas también llegan a medida que aumentan las amenazas físicas al transporte marítimo. La piratería frente a las costas atlánticas de África y el Mar Arábigo, así como en las naciones insulares de la región de Asia y el Pacífico, ha aumentadomientras que los fallos de funcionamiento de los barcos, como el que provocó que un barco chocara con el puente de Baltimore, se han vuelto más frecuentes.
Nuevos señuelos de phishing, viejas vulnerabilidades
SideWinder ha estado llevando a cabo ataques desde al menos 2012. El grupo es relativamente sofisticado y generalmente utiliza muestras de malware cifradas, varias técnicas de ofuscación y ejecuta código en la memoria para evitar los escáneres de archivos. según una presentación en Black Hat Asia en 2022. De 2020 a 2022, el grupo llevó a cabo más de 1.000 ataques, dijo Noushin Shabab, investigador senior de seguridad de Kaspersky, durante la presentación.
“Creo que lo que realmente los diferencia de otras APT es [advanced persistent threat] “Los actores del grupo son el gran conjunto de herramientas que tienen con muchas familias diferentes de malware, muchos materiales nuevos de phishing y una infraestructura muy grande”, dijo Shabab. “Hasta ahora no he visto 1.000 ataques de una sola APT” de otro grupo.
Sin embargo, los ciberataques actuales en muchos casos aprovechan vulnerabilidades más antiguas, como una falla en Microsoft Office de 2017. La vulnerabilidad (CVE-2017-0199) permite la ejecución remota de código en versiones anteriores de Microsoft Office y Windows, y ha sido un ataque muy popular. vector, con más de 5.600 muestras de malware explotando el problema este año, incluidas 15 muestras maliciosas reportadas en Egipto, según BlackBerry.
Como a la mayoría de los grupos, a SideWinder no le gusta desperdiciar un buen logro, incluso si tiene siete años, dice Valenzuela.
“¿Por qué todavía vemos viejos VEC como estos explotados en la naturaleza? Los atacantes saben que muchas empresas no parchean su software Office durante muchos años”, explica. “Esto es particularmente común en empresas con sistemas heredados, que a menudo se utilizan en puertos e instalaciones marítimas, así como en otras infraestructuras críticas. »
BlackBerry ha documentado el uso de otra vulnerabilidad popular (que ya tiene siete años) en el editor de ecuaciones de Microsoft Office (CVE-2017-11882), con más de 9500 muestras de documentos de Office explotando el problema desde principios de 2024. Ambas vulnerabilidades están activas. la lista de vulnerabilidades explotadas conocidas mantenida por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).
La marina atacó
Los investigadores de BlackBerry descubrieron una serie de dominios durante la primera y segunda fase del ataque que probablemente sean evidencia de sus objetivos, incluida una larga lista en el sur de Asia, incluidos Pakistán, Sri Lanka, Bangladesh, Myanmar, Nepal y las Maldivas. Los puertos egipcios parecen ser el único objetivo fuera de la amplia vecindad de la India.
Aunque el país parece estar ampliando su alcance a otras partes del mundo, las operaciones cibernéticas en realidad no están dirigidas a puertos a escala global, afirma Valenzuela.
“Ciertamente están apuntando a puertos en países clave donde este actor de amenazas tiene intereses geopolíticos, y eso incluye el Océano Índico y el Mediterráneo. [such as] “Egipto”, dijo. “No tenemos información sobre otros objetivos en el Mar Mediterráneo en este momento”.
Los investigadores aún no han capturado la carga útil final de los ataques, pero basándose en las acciones anteriores del grupo, creen que el objetivo es la recopilación de inteligencia y el ciberespionaje, dijo la compañía en su aviso.