Check Point Research (CPR) detecta una operación de ciberespionaje en curso dirigida al gobierno afgano. Atribuidos a un grupo de hackers de habla china, los actores de la amenaza se hicieron pasar por la Oficina del Presidente de Afganistán para infiltrarse en el Consejo de Seguridad Nacional Afgano (NSC) y utilizaron Dropbox para enmascarar sus actividades. CPR cree que esta es la última de una operación de más larga duración que se remonta a 2014, donde Kirguistán y Uzbekistán también son víctimas.
Check Point Research (CPR) ha observado una operación de ciberespionaje en curso dirigida al gobierno afgano. Se cree que es el grupo de hackers de habla china conocido como “IndigoZebra”, los actores de amenazas detrás del espionaje aprovecharon Dropbox, el popular servicio de almacenamiento en la nube, para infiltrarse en el Consejo de Seguridad Nacional Afgano (NSC). Una investigación adicional de CPR reveló que esta es la última actividad de más larga duración dirigida a otros países de Asia central, Kirguistán y Uzbekistán, desde al menos 2014.
"De la Oficina del Presidente de Afganistán"
La investigación de CPR comenzó en abril, cuando un funcionario del Consejo de Seguridad Nacional de Afganistán recibió un correo electrónico presuntamente de la Oficina Administrativa del Presidente de Afganistán. El correo electrónico instaba al destinatario a revisar las modificaciones en el documento relacionadas con una próxima conferencia de prensa del NSC.
CPR resumió la metodología del ciberespionaje en los siguientes pasos:
La detección del ciberespionaje sigue siendo una de nuestras principales prioridades. Esta vez, hemos detectado un spear-phishing en curso.campaña dirigida al gobierno afgano. Tenemos motivos para creer que Uzbekistán y Kirguistán también han sido víctimas. Atribuimos nuestros hallazgos a un actor de amenazas de habla china. Lo que es notable aquí es cómo los actores de la amenaza utilizaron la táctica del engaño de ministerio a ministerio. Esta táctica es cruel y eficaz para hacer que cualquiera haga cualquier cosa por usted; y en este caso, la actividad maliciosa se vio en los niveles más altos de soberanía. Además, es notable cómo los actores de amenazas utilizan Dropbox para enmascararse de la detección, una técnica que creo que todos deberíamos conocer y que todos deberíamos tener en cuenta. Es posible que otros países también hayan sido atacados por este grupo de piratas informáticos, aunque no sabemos cuántos o qué países