DE AGENT.BTZ A COMRAT, G DATA Analiza siete años de evolución del CIBERESPIONAJE

LOS EXPERTOS DE LA MULTINACIONAL ALEMANA ASEGURAN QUE LOS AUTORES DE ESTAS AMENAZAS, ESPECIALIZADOS EN EL DESARROLLO DE APTS, PERMANECEN ACTIVOS.

Los ciberataques contra gobiernos e instituciones públicas, grandes empresas y organizaciones internacionales se han incrementado considerablemente en los últimos años. G DATA ha analizado los siete años de evolución de dos de los programas maliciosos destinados al ciberespionaje más conocidos: Agent.BTZ, famoso por sus ataques al Pentágono en 2008 y ComRAT, un sofisticado spyware destinado al robo de información en gobiernos y organizaciones similares y cuyo análisis le delata como sucesor del propio Agent.BTZ. Los expertos de G DATA han analizado 46 muestras diferentes que reflejan la evolución a lo largo de estos siete años encontrando notables similitudes técnicas y código de programación acumulativo así como conexiones evidentes con Uroburos, el spyware que atacó a los Ministerios de Asuntos Exteriores de Bélgica y Finlandia el año pasado.

«Ahora tenemos información y datos que reflejan la evolución y el desarrollo de una amenaza que ha sido utilizada en ciberataques dirigidos contra organizaciones donde se almacenan datos tan sensibles el Pentágono o los Ministerios de Asuntos exteriores de Bélgica y Finlandia», explica Ralf Benzmüller, responsable de G DATA SecurityLabs.

Cambios mínimos

Desde el origen de Agent.BTZ en 2007 y hasta su versión 3.00, en el año 2012, los expertos de G DATA han registrado solo cambios mínimos. Básicamente adaptaciones de compatibilidad a las nuevas versiones de Windows, eliminación de errores de programación e incorporación de nuevas formas de ocultación y camuflaje. Sin embargo, en 2012 y con la versión 3.00 se producen cambios significativos con modificaciones notables que afectan a la RAT (Remote Administration Tool) y a la comunicación con el servidor de comando y control (C&C) que transforman definitivamente Agent.BTZ en ComRAT.

Los expertos de G DATA están seguros de que el grupo que se oculta detrás de Uroburos, Agent.BTZ y ComRAT continua activo y está especializado en la creación de APTs. Asimismo, consideran que no sería arriesgado afirmar que se produjeran nuevos ataques en un futuro cercano.

Análisis de la evolución del spyware Agent.BTZ a ComRAT https://blog.gdatasoftware.com/blog/article/evolution-of-sophisticated-spyware-from-agentbtz-to-comrat.html

Análisis de ComRAT, sucesor de Agent.BTZ https://blog.gdatasoftware.com/blog/article/the-uroburos-case-new-sophisticated-rat-identified.html

Hijacking de la plataforma COM (Componente Object Model) en detalle https://blog.gdatasoftware.com/blog/article/com-object-hijacking-the-discreet-way-of-persistence.html

Análisis del rootkit Uroburos https://blog.gdatasoftware.com/blog/article/uroburos-highly-complex-espionage-software-with-russian-roots.html

Revisión técnica de las funcionalidades de Uroburos https://blog.gdatasoftware.com/blog/article/uroburos-deeper-travel-into-kernel-protection-mitigation.html

Fuente: Gdata.es