Los hackers que atacaron a Facebook, Microsoft, Twitter y Apple representan una amenaza para la seguridad corporativa

El grupo de hackers que atacó a Facebook, Microsoft, Twitter y Apple está hackeando activamente para robar información confidencial con fines de lucro

Un grupo de hackers que ha estado infiltrándose en empresas tecnológicas de alto perfil como Microsoft, Apple Inc, Facebook Inc y Twitter Inc desde hace más de dos años se cree que ha escalado sus esfuerzos de espionaje económico mientras busca información empresarial confidencial y propiedad intelectual para poder beneficiarse de ello.

El grupo que ha sido identificado como Wild Neutron o Morpho por Symantec Corp. y Kaspersky Lab, ha penetrado en las redes de más de 45 grandes empresas desde 2012. Symantec dice que el grupo parece estar entre los pocos que muestran un talento significativo sin el respaldo de un gobierno nacional.

“Están muy enfocados, queriendo obtener todo lo valioso de las principales empresas del mundo”, dijo Vikram Thakur, un gerente senior de Symantec. “La única forma en que podrían usarlo, en nuestra opinión, es a través de algún mercado financiero o vendiéndolo.”

Symantec dijo que Morpho había desaparecido de la vista durante meses después de que los informes de prensa sobre las violaciones de Microsoft, Apple y otras grandes empresas tecnológicas a principios de 2103 arrojaran luz sobre sus técnicas, que incluían el uso de un fallo “zero-day” previamente desconocido en la plataforma Java de Oracle.

Symantec dijo que Morpho también utilizó un “watering hole” infectando sitios web que probablemente atraerían a empleados de sus objetivos como visitantes. Los empleados de un desarrollador de iPhone fueron atacados a través de este método.

Symantec ha identificado 49 organizaciones diferentes en más de 20 países que han sido víctimas del grupo Morpho desde 2012. La mayoría de ellas eran del sector tecnológico, farmacéutico, de materias primas y legal, y estaban ubicadas en EE. UU., Canadá o Europa.

Kaspersky identificó empresas adicionales comprometidas por el grupo que están involucradas en criptomonedas Bitcoin, inversiones, atención médica, bienes raíces, acuerdos de fusiones y adquisiciones, así como usuarios individuales.

“Morpho es un grupo de ataque hábil, persistente y efectivo que ha estado activo desde al menos marzo de 2012”, escribieron los investigadores de la firma de seguridad Symantec en un informe publicado el miércoles. “Tienen buenos recursos, utilizando al menos uno o posiblemente dos exploits zero-day. Su motivación es muy probablemente la ganancia financiera y dado que han estado activos durante al menos tres años, deben tener éxito en monetizar su operación.”

Investigadores de Kaspersky Lab, que publicaron su propio informe independiente sobre Morpho. El informe de Kaspersky dijo que el grupo ha estado activo desde al menos 2011, y además del exploit zero-day de Java, Morpho ha comenzado a utilizar un certificado digital válido emitido a Acer Incorporated para superar los requisitos de firma de código incorporados en los sistemas operativos modernos. También detectaron el uso reciente de un “exploit desconocido de Flash Player, una indicación de que los atacantes pueden estar utilizando otro exploit zero-day.

Morpho ha violado aproximadamente 49 organizaciones que Symantec conoce desde 2012, con el número de penetraciones cada año aumentando a 14 para 2015. La mayoría de las víctimas de Morpho están situadas en Estados Unidos, Europa y Canadá, según Symantec.

Thakur dijo que su equipo piensa que el grupo podría tener alrededor de 10 miembros en todo el mundo, con algunos que hablan inglés con fluidez y uno o más que quizás hayan trabajado en una agencia de inteligencia. Podrían estar ofreciéndose para ser contratados o podrían estar infiltrándose en empresas especulativamente y tratando de vender la información o comerciando en acciones basadas en ello.