"Desde la Oficina del Presidente de Afganistán"
La investigación de CPR comenzó en abril, cuando un funcionario del Consejo de Seguridad Nacional de Afganistán recibió un correo electrónico supuestamente de la Oficina Administrativa del Presidente de Afganistán. El email instaba al destinatario a revisar las modificaciones del documento relacionadas con una próxima conferencia de prensa del NSC.
La cadena de infección comenzó con el engaño entre ministerios
El CPR resumió la metodología del ciberespionaje en los siguientes pasos:
Ocultarse y perdurar con Dropbox
Los ciberdelincuentes utilizaron la API de Dropbox para enmascarar sus actividades maliciosas, ya que no se produce ninguna comunicación con las páginas web anómalas. El backdoor creado instauraba una carpeta única para la víctima en una cuenta de Dropbox controlada por el atacante. Cuando necesitaban enviar un archivo o un comando a la máquina del perjudicado, los colocaban en la carpeta llamada "d" en la carpeta de Dropbox de la víctima. El malware la recuperaba y descargaba todo su contenido. El backdoor establecía la persistencia mediante la configuración de una clave de registro diseñada para ejecutarse cada vez que un usuario se conectaba.
Acciones de ciberespionaje detectadas por Check Point Research
Objetivos: Afganistán, Kirguistán y Uzbekistán
Mientras que los investigadores de Check Point Research vieron que la variante de Dropbox tenía como objetivo a funcionarios del gobierno afgano, sus variantes se centran en entidades políticas de dos países concretos de Asia Central, Kirguistán y Uzbekistán.
"La detección del cualquier tipo de ciberespionaje sigue siendo una prioridad para nosotros. Esta vez hemos detectado una campaña de spear-phishing en curso dirigida contra el Gobierno afgano, pero tenemos motivos para creer que Uzbekistán y Kirguistán también han sido víctimas. Hemos atribuido nuestros hallazgos a ciberdelincuentes de habla china. Lo que llama la atención aquí es cómo utilizaron la táctica del engaño de ministerio a ministerio en los más altos niveles de la Administración Pública”, destaca Lotem Finkelsteen, jefe de inteligencia de amenazas de Check Point Software. “Además, preocupa cómo los ciberdelincuentes utilizan Dropbox para enmascararse y evitar ser detectados, una técnica que creo que todos deberíamos conocer y de la que deberíamos estar pendientes. Es posible que otros países también hayan sido objetivo de este grupo de atacantes, aunque no sabemos ni cuántos ni cuáles”.