Así es Morpho, un nuevo grupo de ciberespionaje corporativo

Symantec ha detectado la existencia de Morpho, un grupo de ciberespionaje corporativo que ha comprometido la seguridad de diversas compañías durante los últimos años, incluyendo algunas con sede en Europa. Este grupo ha estado operando a un nivel mucho mayor que el de las bandas de cibercrimen convencionales y sus miembros no solo son técnicamente muy eficientes, sino que también cuentan con recursos y motivación financiera.

Los hackers de Morpho no están interesados en el robo de tarjetas de crédito o bases de datos de usuarios, sino que se centran en la información corporativa de alto nivel. Morpho vende esta información al mejor postor o bien opera como un gang de hackers de alquiler. La información robada podría también usarse para propósitos para los cuales es necesaria información privilegiada.

Los primeros signos de las actividades de Morpho surgieron a principios de 2013, cuando se vieron comprometidas varias empresas tecnológicas importantes, entre ellas Twitter, Facebook, Apple y Microsoft. Los atacantes accedían a un sitio web utilizado por los desarrolladores móviles y utilizaban un exploited día-cero de Java para infecta a sus víctimas con malware. Utilizaban una puerta trasera para Mac OS X, conocida como OSX.Pintsized, y una para Windows, denominada Backdoor.Jiripbot.

Sin embargo, la tecnología no es el único sector en el que el grupo ha centrado sus actividades. Entre los principales objetivos de Morpho se encuentran empresas del sector farmacéutico, de materias primas como oro y petróleo y de desarrollo de software.

El grupo parece tener un buen conocimiento de las organizaciones que ataca, puesto que se centra en el robo de tipos específicos de información. En muchos ataques, Morpho ha logrado comprometer servidores de correo electrónico de Microsoft Exchange o Lotus Domino con el fin de interceptar mensajes de la empresa y utilizarlso después para enviar correos electrónicos falsos. El grupo también ha accedido a sistemas de gestión de contenido empresarial, donde se almacenan documentos jurídicos y políticos, registros financieros, descripciones de productos y documentos de formación.

Los cibercriminales tiene una serie de herramientas de malware personalizadas a su disposición, las cuales parecen estar elaboradas por ellos mismos. Sus armas principales son los dos troyanos de tipo puerta trasera citados, además de las herramientas Hacktool.Bannerjack, Hacktool.Multipurpose, Hacktool.Eventlog y Hacktool.Proxy.A.

Basándose en el perfil de las víctimas y el tipo de información robada por los atacantes, Symantec cree que la motivacion de Morpho son las ganancias financieras derivadas del robo de información. El grupo no discrimina en función de la nacionalidad de sus objetivos, lo que hace pensar que Morpho no trabaja para ningún Estado.