Especialistas en ciberseguridad reportan la detección de una estructura de ataque web implementada por un presunto grupo de hackers estatales chinos y pensada para explotar fallas de seguridad en decenas de sitios web populares con el fin de recopilar información sobre disidentes y opositores al gobierno de China. Al parecer, los hackers están atacando al menos 57 sitios web chinos y las plataformas oficiales del periódico americano New York Times.
El reporte menciona que esta herramienta también es capaz de abusar de algunas funciones legítimas del navegador para desplegar un ataque de keylogging, además de recolectar múltiples datos sobre el sistema operativo, detalles de ubicación e incluso tomar capturas de pantalla e imágenes de cámaras web.
Identificada como Tetris, esta herramienta fue encontrada por primera vez en dos sitios web chinos que parecían ser blogs de noticias sin fines de lucro, menciona uno de los investigadores que participaron en el análisis de Tetris. El investigador trabaja bajo el pseudónimo “Imp0rtp3”.
El experto menciona que los usuarios que ingresaran a un sitio web comprometido eran recibidos por Jetriz, el primero de dos componentes de Tetris y que estaba a cargo de recopilar información sobre el navegador del usuario objetivo. Si el navegador estaba configurado en idioma chino, el usuario sería redirigido al segundo componente malicioso.
Swid, el segundo componente, carga 15 plugins adicionales en JavaScript dentro del navegador de la víctima. Ocho de estos plugins abusan de una técnica de secuestro JSON para iniciar conexiones a sitios web populares y recuperar datos públicos sobre los usuarios. Esta técnica no permite extraer contraseñas o cookies de autenticación, aunque el reporte menciona que un actor de amenazas podría recuperar información como nombres de usuario, números telefónicos e incluso nombres reales, permitiendo la elaboración de perfiles de usuario detallados.
Imp0rtp3 sostiene que estas tácticas y procedimientos están vinculados a un grupo de hacking que colabora de forma muy cercana al gobierno de China. El investigador sustenta sus conclusiones en el hecho de que los operadores de Tetris han limitado su campaña a un número determinado de sitios web. Como se menciona anteriormente, la mayoría de los sitios web afectados son blogs de noticias, análisis político y opinión contraria al gobierno chino, que una vez más demuestra su especial interés en el seguimiento y monitoreo contra potenciales amenazas a la estabilidad del régimen.
Finalmente, el reporte menciona que si bien las herramientas como Tetris no son muy comunes actualmente, siguen siendo una amenaza real para miles de usuarios, especialmente en campañas altamente dirigidas como la descrita en este artículo.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
