Destapan una red de ciberespionaje que se aprovechaba de las vulnerabilidades de Adobe Reader
Los documentos, bien elaborados y con apariencia profesional, se aprovechaban de las vulnerabilidades de Adobe Reader y empleaban a su favor Twitter y Google a la hora de acceder a los sistemas de varios gobiernos, entre ellos el español.
Un total de 59 instituciones y agencias gubernamentales de todo el mundo han sido atacados por una trama de ciberespionaje, cuyos autores aún se desconocen. Varias instituciones españolas han sido atacadas, al igual que sus homólogas en Bélgica, Brasil, Bulgaria, República Checa, Georgia, Alemania, Hungría, Irlanda, Israel, Japón, Letonia, Líbano, Lituania, Montenegro, Portugal, Rumania, Rusia, Eslovenia, Turquía, Ucrania, Reino Unido y Estados Unidos.
Los ataques se producían mediante el envío de documentos en PDF, muy bien elaborados y con apariencia profesional. Una vez que el usuario los abría, el malware (llamado MiniDuke), estos archivos se aprovechaban de una de las vulnerabilidades que Adobe ha parcheado este mismo mes en su lector de PDF.
Sin embargo, lo interesante de este malware es la forma en que se pone en contacto con los servidores de control, los que gestionan sus creadores. Y es que el documento PDF es capaz de descargar otro archivo, de tan sólo 20 Kb, que incluye una puerta trasera encriptada al equipo personalizada por cada dispositivo.
Una vez instalado, el malware se dirige a Twitter en busca de tuits específicos en las cuentas creadas por los atacantes. Los tuits incluían etiquetas con direcciones URL codificadas que facilitan el acceso a los servidores de control, entrando al ordenador como falsas imágenes GIF.
¿Y si Twitter no funcionaba? Los creadores de este virus no dejaron nada a la suerte y planificaron que, en caso de caída o cualquier problema con esta red social, la entrada a los sistemas infectados se haría por medio de las URL codificadas que aparecerían en determinadas búsquedas en Google, previamente asignadas.
Este malware fue creado el 20 de febrero, lo que indica que sus creadores seguramente aún estén activos en la Red, indican desde Kaspersky Lab, quienes junto a CrySys descubrieron esta infección que ha afectado a documentos de la política exterior ucraniana y de los planes de futuro de la OTAN.
El nombre que ha recibido este virus tampoco es azaroso. Y es que MiniDuke les recordaba en ciertas características a Duqu, otro malware de recolección de datos que algunos investigadores han vinculado a Stuxnet, el famoso virus creado supuestamente por EEUU e Israel para desactivar las centrales nucleares iraníes. Sin embargo, no hay evidencias de que MiniDuke esté relacionado con ninguno de ellos.