La seguridad cibernética se ha convertido en una preocupación primordial, especialmente para las instituciones gubernamentales. Recientemente, un nuevo grupo de hackers, apodado "TetrisPhantom", ha emergido con tácticas sorprendentemente penetrantes, comprometiendo datos almacenados en dispositivos USB seguros utilizados por entidades gubernamentales. Este desarrollo subraya la importancia crítica de estrategias de ciberseguridad sólidas y la necesidad de estar siempre un paso adelante de los actores maliciosos.
Un Nuevo Actor en el Escenario de la Ciberseguridad: TetrisPhantom
Una amenaza avanzada y recién detectada, conocida como 'TetrisPhantom', ha estado explotando unidades USB seguras para lanzar ataques contra infraestructuras gubernamentales en la zona de Asia-Pacífico. Estas unidades USB seguras, diseñadas para el almacenamiento de archivos en un segmento encriptado, son herramientas esenciales para la transferencia de información protegida entre diferentes sistemas, incluso en aquellos que operan en redes aisladas.
El ingreso a la sección encriptada de estas unidades se logra mediante software especializado que, basado en una contraseña suministrada por el usuario, desencripta los datos almacenados. Una de estas aplicaciones es UTetris.exe, ubicada en el área no protegida de la unidad USB.
Expertos en seguridad cibernética han identificado versiones maliciosas de la aplicación UTetris alojadas en estas unidades USB seguras. Esta estrategia forma parte de una operación malintencionada que ha estado activa por varios años, enfocándose en entidades gubernamentales de la región Asia-Pacífico.
El informe más reciente de Kaspersky acerca de las tendencias en Amenazas Persistentes Avanzadas (APT) resalta que TetrisPhantom emplea un arsenal de herramientas, instrucciones y componentes maliciosos. Esta evidencia apunta a un colectivo de amenazas altamente sofisticado y bien financiado.
Te podría interesar leer: BadUSB: El Enemigo Invisible en su Puerto USB
Detalles del Ataque
Kaspersky proporcionó más información sobre cómo se desencadena el ataque mediante la aplicación comprometida Utetris, iniciando el proceso con la activación de un código malicioso conocido como AcroShell en el sistema informático objetivo. AcroShell crea un canal de comunicación directa con el servidor de comando y control (C2) de los ciberdelincuentes, permitiéndole recibir y activar nuevos códigos maliciosos destinados a sustraer documentos y archivos delicados, además de recolectar información detallada sobre las unidades USB que el objetivo está utilizando.
Además, los ciberdelincuentes aprovechan los datos obtenidos para investigar y desarrollar más programas maliciosos, incluido uno conocido como XMKR y la versión comprometida de UTetris.exe. XMKR tiene funcionalidades en el sistema que le permiten sustraer archivos para actividades de espionaje, y esta información se almacena directamente en las unidades USB.
Si la USB comprometida se inserta en una computadora que tiene conexión a Internet y está infectada con AcroShell, los detalles almacenados en ella se envían de inmediato al servidor controlado por los atacantes.
En su investigación, Kaspersky descubrió y examinó dos formas distintas del ejecutable malicioso de Utetris; una estuvo activa entre septiembre y octubre de 2022 (versión 1.0), y otra ha estado operando en sistemas gubernamentales desde octubre de 2022 hasta la fecha (versión 2.0).
Según Kaspersky, estos ataques no son nuevos, ya que han persistido durante varios años, con TetrisPhantom enfocándose consistentemente en actividades de espionaje. El número limitado de intrusiones detectadas en sistemas gubernamentales sugiere que se trata de una campaña altamente dirigida.
Te podría interesar leer: ¿Por qué la Seguridad USB es vital para Proteger tu Empresa?
En resumen, la emergencia de TetrisPhantom es un recordatorio crítico de que la ciberseguridad es un campo de batalla en constante evolución. Los actores de amenazas están continuamente buscando y explotando nuevas vulnerabilidades, y su capacidad para adaptarse y superar las defensas existentes es una preocupación significativa.
Combatir estas amenazas requiere un enfoque multifacético y siempre vigilante. No se trata solo de tener las herramientas adecuadas, sino de implementar una cultura de seguridad cibernética, educación continua, y cooperación interinstitucional e internacional. A medida que avanzamos, solo mediante la adaptación y la preparación constantes podremos esperar salvaguardar nuestros datos y proteger nuestra seguridad nacional y global contra actores de amenazas como TetrisPhantom.