Operación Medre: ¿espionaje industrial en Latinoamérica?
*Por Joaquín Rodríguez Varela
A principios del 2012 se percibió en nuestro sistema de alerta temprana Eset LiveGrid un significante incremento en la cantidad de detecciones del gusano ACAD/Medre.A. Además se descubrió que la mayoría de estas se encontraban localizadas en Perú, algo más curioso aún. La investigación permitió develar la Operación Medre, un ataque dirigido a Perú con el ánimo de robar proyectos de AutoCAD para luego enviarlos a una cuenta de correo alojada en un servidor Chino.
No es algo normal toparse con un ataque dirigido, más allá de las últimos casos reportados de este tipo como fueron Stuxnet, Duqu o Flame, por lo que desde el Laboratorio de Eset Latinoamérica debimos realizar un minucioso análisis antes de poder determinar la magnitud del caso.
Analizando las estadísticas se notó que del porcentaje de detección global para esta amenaza, el 96% pertenecía al Perú. Estos valores son poco frecuentes, ya que las amenazas tienden a distribuirse de manera relativamente pareja entre los países. El segundo país en cantidad de detecciones es Ecuador con un 2%, demostrando así una evidente diferencia en la cantidad de las infecciones.
Luego de profundizar en el análisis de las muestras, se logró ingresar a las cuentas de correo utilizadas para enviar los proyectos robados y así se pudo determinar que más de 10.000 proyectos (planos, diseños industriales, etc.) habían sido robados al momento de la investigación, demostrando que el ataque había sido efectivo. En base al análisis que se realizó de las rutas y nombres de los archivos robados se identificó un patrón de repetición que indicaba que la mayoría de esos proyectos eran de origen Latinoamericano.
Este tipo de ataque, con la magnitud que lo caracterizó y su distribución específica es lo que nos permitió llegar a la conclusión, entre otras cosas, que se trató de un ataque dirigido a Perú. En los últimos meses se ha hablado mucho sobre los ataques dirigidos a empresas o entidades en busca de información específica u objetivos puntuales y no es de sorprender que ahora se comiencen a descubrir en países de Latinoamérica.
Es por esto que las empresas deben realizar una correcta gestión de su seguridad e infraestructura. Para esto existen una serie de recomendaciones para evitar ser víctima de estos ataques:
•No ejecutar o abrir archivos adjuntos recibidos vía mail que no hayan sido expresamente solicitados sin antes realizar un análisis minucioso de los mismos por el departamento de seguridad.
•Gestionar el manejo de dispositivos de almacenamiento masivo dentro de la empresa para así poder evitar infecciones dentro de la red.
•Disponer de una solución antivirus con capacidades de detección proactiva en cada estación de trabajo.
