PLATINUM (grupo de cibercrimen)

Grupo de piratas informáticos con sede en China

PLATINUM es el nombre dado por Microsoft a un colectivo de cibercrimen activo contra gobiernos y organizaciones relacionadas en el sur y sudeste de Asia . ^[1] Son reservados y no se sabe mucho sobre los miembros del grupo. ^[2] La habilidad del grupo significa que sus ataques a veces pasan desapercibidos durante muchos años. ^[1]

El grupo, considerado una amenaza persistente avanzada , ha estado activo desde al menos 2009, ^[3] atacando a sus víctimas mediante ataques de phishing dirigidos contra direcciones de correo electrónico privadas de funcionarios gubernamentales, exploits de día cero y parches de vulnerabilidades. ^{[4] [5]} Al obtener acceso a las computadoras de sus víctimas, el grupo roba información económicamente sensible. ^[1]

PLATINUM logró mantener un perfil bajo hasta que se detectó y se informó públicamente de su abuso del sistema de parcheo en caliente de Microsoft Windows en abril de 2016. ^[2] Este método de parcheo en caliente les permite usar las propias funciones de Microsoft para aplicar parches, modificar archivos o actualizar una aplicación rápidamente, sin tener que reiniciar el sistema por completo. De esta manera, pueden mantener los datos que han robado mientras ocultan su identidad. ^[2]

En junio de 2017, PLATINUM se hizo conocido por explotar las capacidades serial over LAN (SOL) de la tecnología de gestión activa de Intel para realizar exfiltración de datos. ^{[6] [7] [8] [9] [10] [11] [12] [13]}

Las técnicas de PLATINUM

Se sabe que PLATINUM explota complementos web , y en un momento dado se infiltró en las computadoras de varios funcionarios del gobierno indio en 2009, utilizando un sitio web que brindaba un servicio de correo electrónico. ^{[ aclaración necesaria ] [1]}

Una vez que tienen el control de la computadora de un objetivo, los actores de PLATINUM pueden moverse a través de la red del objetivo utilizando módulos de malware especialmente diseñados . Estos pueden haber sido escritos por uno de los múltiples equipos que trabajan bajo el paraguas del grupo Platinum, o pueden haber sido vendidos a través de cualquier cantidad de fuentes externas con las que Platinum ha estado tratando desde 2009. ^[1]

Debido a la diversidad de este malware, cuyas versiones tienen poco código en común, los investigadores de Microsoft lo han taxonomizado en familias. ^[1]

El malware más utilizado por PLATINUM fue apodado Dispind por Microsoft. ^[1] Este malware puede instalar un keylogger , un software que registra (y también puede inyectar) pulsaciones de teclas. ^{[ cita requerida ]}

PLATINUM también utiliza otro malware como "JPIN", que se instala en la carpeta %appdata% de una computadora para poder obtener información, cargar un keylogger, descargar archivos y actualizaciones y realizar otras tareas como extraer archivos que podrían contener información confidencial. ^[1]

"Adbupd" es otro programa anti-malware utilizado por PLATINUM, y es similar a los dos mencionados anteriormente. Es conocido por su capacidad de soportar plugins, por lo que puede especializarse, lo que lo hace lo suficientemente versátil como para adaptarse a varios mecanismos de protección. ^[1]

Explotación de Intel

En 2017, Microsoft informó que PLATINUM había comenzado a explotar una característica de las CPU Intel . ^[14] La característica en cuestión es AMT Serial-over-LAN (SOL) de Intel, que permite a un usuario controlar de forma remota otra computadora, sin pasar por el sistema operativo host del objetivo, incluidos los firewalls y las herramientas de monitoreo dentro del sistema operativo host. ^[14]

Seguridad

Microsoft recomienda a los usuarios que apliquen todas sus actualizaciones de seguridad para minimizar las vulnerabilidades y mantener los datos altamente sensibles fuera de las redes grandes. ^[1] Debido a que PLATINUM apunta a organizaciones, empresas y sucursales gubernamentales para adquirir secretos comerciales, cualquiera que trabaje en o con dichas organizaciones puede ser un objetivo para el grupo. ^[15]

Véase también

• Intel AMT § Vulnerabilidades y exploits conocidos
• Titanio (malware)

Referencias

1. "Ataques dirigidos a PLATINUM en el sur y sudeste de Asia (PDF)" (PDF) . Equipo de búsqueda de amenazas avanzadas de Windows Defender (Microsoft). 2016. Consultado el 10 de junio de 2017 .
2. Osborne, Charlie. "Un grupo de piratas informáticos de Platinum abusa del sistema de parches de Windows en campañas activas". ZDNet . Consultado el 9 de junio de 2017 .
3. Eduard Kovacs (8 de junio de 2017). "Los ciberespías "Platinum" abusan de Intel AMT para evadir la detección". SecurityWeek.Com . Consultado el 10 de junio de 2017 .
4. Eduard Kovacs (27 de abril de 2016). "Los ciberespías "Platinum" abusan de Hotpatching en los ataques de Asia". SecurityWeek.Com . Consultado el 10 de junio de 2017 .
5. msft-mmpc (26 de abril de 2016). "Profundizando en busca de PLATINUM: seguridad de Windows". Blogs.technet.microsoft.com . Consultado el 10 de junio de 2017 .
6. Peter Bright (9 de junio de 2017). "Los piratas informáticos furtivos utilizan herramientas de gestión de Intel para eludir el firewall de Windows". Ars Technica . Consultado el 10 de junio de 2017 .
7. Tung, Liam (22 de julio de 2014). "Microsoft afirma que los espías que utilizan Intel AMT esquivan el firewall de Windows mediante parches en caliente". ZDNet . Consultado el 10 de junio de 2017 .
8. msft-mmpc (7 de junio de 2017). "PLATINUM sigue evolucionando, encuentra formas de mantener la invisibilidad – Seguridad de Windows". Blogs.technet.microsoft.com . Consultado el 10 de junio de 2017 .
9. Catalin Cimpanu (8 de junio de 2017). "Malware utiliza una característica poco conocida de la CPU de Intel para robar datos y evitar los firewalls". Bleepingcomputer.com . Consultado el 10 de junio de 2017 .
10. Juha Saarinen (8 de junio de 2017). "Los piratas informáticos abusan de la función de administración de bajo nivel para crear una puerta trasera invisible - Seguridad". iTnews . Consultado el 10 de junio de 2017 .
11. Richard Chirgwin (8 de junio de 2017). "Los Vxers explotan la gestión activa de Intel para generar malware en la red local. Se detectó un ataque Platinum en Asia; necesita credenciales de administrador". The Register . Consultado el 10 de junio de 2017 .
12. Christof Windeck (9 de junio de 2017). "Intel-Fernwartung AMT bei Angriffen auf PCs genutzt | heise Security". Heise.de . Consultado el 10 de junio de 2017 .
13. "Método de transferencia de archivos del grupo de actividades PLATINUM con Intel AMT SOL | Blog de seguridad de Windows | Channel 9". Channel9.msdn.com. 2017-06-07 . Consultado el 2017-06-10 .
14. "El grupo de hackers Platinum utiliza Intel AMT", Tad Group , 25 de septiembre de 2017
15. Liu, Jianhong (15 de julio de 2017). Criminología comparada en Asia. Springer. ISBN 9783319549422.