GRUPO DE CIBERESPIONAJE "DARKHOTEL" IMPULSA ATAQUES CON "EXPLOIT" FILTRADO DE HACKING TEAM
Después de la filtración pública de
archivos que pertenecían a Hacking Team - la empresa conocida por vender
"spyware legal" a algunos gobiernos y a las fuerzas del orden -
varios grupos de ciberespionaje han empezado a utilizar, para sus propios fines
maliciosos, las herramientas que Hacking Team proporcionaba a sus clientes para
realizar ataques. Esto incluye muchos exploits para Flash Player de Adobe y
para el Sistema Operativo Windows. Al menos uno de ellos se ha
vuelto a utilizar por el poderoso actor de ciberespionaje “Darkhotel”.
Kaspersky Lab descubrió a través de
sus expertos que "Darkhotel", un grupo élite de espionaje y famoso por
infiltrar redes Wi-Fi en hoteles de lujo para comprometer a ejecutivos
corporativos específicos, ha estado utilizando una vulnerabilidad día cero de
la colección de Hacking Team desde principios de julio, justo después de la
filtración famosa de los archivos de Hacking Team el pasado 5 de julio.
Se desconocía que fuera un cliente de Hacking Team, de manera que el grupo
Darkhotel parece haber acaparado los archivos una vez que éstos fueron puestos
a disposición del público.
Este no se trata del único día cero
del grupo. Kaspersky Lab estima que en los últimos años han tenido media docena
o incluso, más días cero para Flash Player de Adobe, y aparentemente invirtiendo
cantidades significativas para complementar su arsenal. En el año 2015, el
grupo Darkhotel extendió su alcance geográfico alrededor del mundo y continuó
con sus ataques selectivos mediante "spearphishing" en Corea del
Norte y Sur, Rusia, Japón, Bangladesh, Tailandia, India, Mozambique y
Alemania.
Apoyo colateral de
Hacking Team
Los investigadores de seguridad de
Kaspersky Lab registraron nuevas técnicas y actividades de Darkhotel, un actor
de amenaza persistente avanzada que ha estado activo durante casi ocho años. En
ataques realizados en 2014 y antes, el grupo abusó de certificados de firma de
código y empleó métodos inusuales como comprometer sistemas de Wi-Fi en hoteles
para filtrar herramientas de espionaje en los sistemas del objetivo. En 2015, muchas
de estas técnicas y actividades se siguen utilizando, pero Kaspersky Lab
también descubrió nuevas variantes de archivos ejecutables maliciosos, el uso
continuo de certificados robados, técnicas implacables de ingeniería social y
la implementación de la vulnerabilidad día cero de Hacking Team:
· Uso continuo de certificados robados.
El grupo Darkhotel parece conservar una reserva de certificados robados e
implementa sus descargadores y puertas traseras firmadas con ellos para burlar
al sistema seleccionado. Algunos de los más recientes certificados revocados
incluyen Xuchang Hongguang Technology Co. Ltd. - la compañías cuyos
certificados se utilizaron en ataques previos llevados a cabo por el actor de
la amenaza.
· Spearphishing implacable. La amenaza
persistente avanzada de Darkhotel es en verdad persistente: trata de obtener
información confidencial de un objetivo, y en caso de no tener éxito, regresa
varios meses más tarde para intentarlo nuevamente con esquemas de ingeniería
social muy similares.
· Implementación del exploit día cero de
Hacking Team. El sitio web comprometido, tisone360.com, contiene
un grupo de puertas traseras y exploits. El más interesante de éstos es la
vulnerabilidad día cero para Flash de Hacking Team.
“Darkhotel regresó con otro exploit
para Flash Player hospedado en un sitio web comprometido, y en esta ocasión
parece haber sido impulsado por la filtración de las herramientas de Hacking
Team. El grupo ya había distribuido un exploit para Flash diferente en el mismo
sitio, el cual nosotros lo reportamos como un día cero para Adobe en enero de
2014. Darkhotel parece haber quemado un montón de días cero para Flash y
exploits de medio día en los últimos años, y puede haber acumulado más para
llevar al cabo ataques precisos en individuos de alto nivel en todo el mundo. Sabemos de ataques previos que Darkhotel espía a
Directores Ejecutivos, Vicepresidentes, directores de ventas y mercadotecnia
así como a empleados de alto nivel de investigación y desarrollo," -dijo Kurt Baumgartner, Investigador Principal de Seguridad en
Kaspersky Lab.
Desde el año pasado, el grupo ha
trabajado duro para mejorar sus técnicas de defensa, por ejemplo, expandiendo
su lista de tecnología anti detección. La versión 2015 del descargador
Darkhotel está diseñado para identificar tecnologías antivirus de 27
proveedores, con la intensión de eludirlas.
Para obtener más información, por
favor lea el blog disponible en Securelist: http://www.viruslist.com/sp/weblog?weblogid=208189097
La guía general para
mitigar amenazas persistentes avanzadas está disponible en este artículo: https://securelist.com/blog/software/69887/how-to-mitigate-85-of-threats-with-only-four-strategies/
No hay comentarios:
Publicar un comentario