Secretarías de gobierno, empresas de tecnología, medios de comunicación, instituciones de investigación académica y organizaciones no gubernamentales fueron víctimas de operaciones de ciberespionaje alrededor de todo el mundo, según investigadores de Infosec, que descubrieron muestras de SafeNet en hasta 100 países.

SafeNet se acerca a sus objetivos por medio de campañas de spear-phishing, es decir, ataques de correo electrónico dirigidos que se caracterizan por contener un exploit malicioso adjunto, el cual se se encarga de explotar una vulnerabilidad de Microsoft Office que fue corregida el año pasado (CVE-2012-0158).

La operación parece implicar dos campañas vinculadas entre sí por el uso de la misma cepa de malware, pero utilizan estructuras de comando y control C&C distintas. Uno de los ejes de la operación utiliza correos electrónicos spear-phishing con asuntos relacionados al Tibet o Mongolia. La temática utilizada en el segundo eje de la campaña aún no ha sido identificada, aunque parece ser realmente atractiva, ya que este flanco de la operación ha cobrado víctimas en países desde Estados Unidos, China, Pakistán, Filipinas, Rusia y Brasil. Además de varias entidades en la India, quienes parecen ser los mas afectados por el malware.

La codificación inadecuada de uno de los servidores de comando y control permitió extraer informacion sobre el ataque, según explicaron en un documento (PDF) los investigadores de Trend Micro:

Uno de los  C&C se configuró de tal forma que el contenido de los directorios era visible para cualquier persona que accediera a ellos. Como consecuencia, no solo se determinaron las víctimas de la campaña, también se descargaron respaldos de seguridad  que contenían el código fuente PHP que los atacantes usaron para el  servidor C&C y los códigos en C para generar el malware.

Al parecer, casi 12 mil direcciones IP únicas, repartidas en más de 100 países, estaban conectados a las dos campañas de servidores de comando y control (C&C) relacionados con la estructura del malware de SafeNet.

Los investigadores de Trend calculan que el promedio de víctimas reales se mantuvo en 71 por día, con pocos o ningún cambio de día a día. "Esto indica que el número real de víctimas es mucho menor que el número de direcciones IP únicas", según los investigadores de seguridad.

Los autores del ataque se conectan a los servidores C&C mediante VPN y la red anónima Tor. Esto significa que se puede obtener poca evidencia de los nodos del C&C de la campaña usada por los atacantes. No obstante, las pistas en la codificación han llevado a los investigadores de Trend a sospechar que el malware fue creado en China.

"Si bien determinar la intención de los atacantes e identificarlos continúa siendo complejo, se ha podido determinar que esta campaña está dirigida y desarrollada por ingenieros profesionales especialistas en software y puede estar relacionada con el cibercirmen en china. Escribió Nart Villeneuve, investigador de Trend Micro en una entrada de blog.

"Sin embargo, la relación entre los desarrolladores de malware y los propios operadores de la campaña aún no está claro."

Trend Micro señala que no existe ninguna relación entre el ataque y SafeNet, Inc., una empresa de renombre seguridad de la información. El nombre "SafeNet" viene de las referencias dentro del propio programa malicioso.