ūüėé 60% Descuento:  Curso de Hacking Redes Inal√°mbricas >> Ver M√°s

Grupo de hacking ruso utiliza Dropbox para almacenar datos robados

El grupo de hacking Turla, respaldado por Rusia, ha utilizado un conjunto de herramientas de malware previamente indocumentado para implementar puertas traseras. Tambi√©n ha robado documentos confidenciales en campa√Īas de ciberespionaje dirigidas a objetivos de alto perfil. Por ejemplo, el Ministerio de Relaciones Exteriores de los pa√≠ses de la Uni√≥n Europea.

El framework de malware previamente desconocido, llamado Crutch por sus autores, se utiliz√≥ en campa√Īas que abarcan desde 2015 hasta al menos principios de 2020.

El malware Crutch de Turla fue dise√Īado para ayudar a recolectar y filtrar documentos confidenciales. Asimismo, para subir otros archivos de inter√©s a las cuentas de Dropbox controladas por el grupo de hacking ruso.

“La sofisticaci√≥n de los ataques y los detalles t√©cnicos del descubrimiento fortalecen a√ļn m√°s la percepci√≥n de que el grupo Turla es muy peligroso. El grupo tiene recursos considerables para operar un arsenal tan grande y diverso”. Esto seg√ļn el investigador de ESET Matthieu Faou en un informe publicado hoy y compartido p√ļblicamente.

“Adem√°s, Crutch puede eludir algunas capas de seguridad al abusar de la infraestructura leg√≠tima, en este caso, Dropbox. Esto para integrarse en el tr√°fico de red normal mientras filtra los documentos robados y recibe comandos de sus operadores”.

Enlaces a otros programas maliciosos de Turla

Los investigadores de ESET pudieron vincular a Crutch con el grupo ruso de amenazas persistentes avanzadas (APT) Turla basándose en similitudes. Tiene similitudes con la puerta trasera Gazer de segunda etapa (también conocida como WhiteBear) que los actores de amenazas utilizaron entre 2016 y 2017.

Utilizaron la misma clave RC4 para descifrar payloads y nombres de archivo idénticos mientras se colocaban en la misma máquina comprometida en septiembre de 2017. También usaron las mismas rutas PDB casi idénticas; estos son solo algunos de los vínculos fuertes entre los dos observados por ESET.

“Dados estos elementos y que no conocemos que las familias del malware Turla se compartan entre diferentes grupos, creemos que Crutch es una familia de malware que forma parte del arsenal de Turla”.

Matthieu Faou

Los registros de tiempo de m√°s de 500 archivos ZIP que contienen documentos robados y subidos en las cuentas de Dropbox de Turla tienen algo peculiar. Los documentos subidos entre octubre de 2018 y julio de 2019 muestran algo llamativo. Las horas de trabajo de los operadores de Crutch se alinean con la zona horaria rusa UTC+3.

Dropbox utilizado como almacenamiento de datos robados

Turla envi√≥ Crutch como una puerta trasera de segunda etapa en m√°quinas ya comprometidas que utilizan implantes de primera etapa como Skipper durante 2017. Esto meses despu√©s del compromiso inicial. En algunos casos usaron el framework de post-explotaci√≥n de c√≥digo abierto PowerShell Empire.

Las primeras versiones de Crutch (entre 2015 y mediados de 2019) usaban canales de puerta trasera para comunicarse con la cuenta de Dropbox codificada. Lo hacían a través de la API HTTP oficial y herramientas de monitoreo de unidades sin capacidades de red. Las herramientas buscaban y archivaban documentos interesantes como archivos cifrados.

Una versi√≥n actualizada (identificada como ‘versi√≥n 4’ por ESET) agreg√≥ un monitor de unidad extra√≠ble con capacidades de red. Este elimin√≥ las capacidades de puerta trasera.

Sin embargo, permite un enfoque no manual. Este es capaz de “subir autom√°ticamente los archivos que se encuentran en unidades locales y extra√≠bles al almacenamiento de Dropbox. Esto mediante la versi√≥n para Windows de la utilidad Wget”.

Arquitectura del malware Crutch (ESET)

Ambas versiones utilizan el secuestro de DLL para ganar persistencia en dispositivos comprometidos en Chrome, Firefox o OneDrive. Y, Crutch v4 se env√≠a como “un antiguo componente de Microsoft Outlook”.

“Crutch muestra que al grupo no le faltan puertas traseras nuevas o actualmente indocumentadas”, concluy√≥ Faou.

“Este descubrimiento refuerza a√ļn m√°s la percepci√≥n de que el grupo Turla tiene recursos considerables para operar un arsenal tan grande y diverso”.

Grupo de espionaje poco ortodoxo

En total, a lo largo de sus campa√Īas de espionaje, Turla ha comprometido miles de sistemas pertenecientes a gobiernos, embajadas. Asimismo, instalaciones de educaci√≥n e investigaci√≥n de m√°s de 100 pa√≠ses.

El grupo ruso Turla APT (tambi√©n conocido como Waterbug y VENOMOUS BEAR) no es nuevo. Anteriormente ha estado detr√°s de campa√Īas de robo de informaci√≥n y espionaje que se remontan a 1996.

Turla es el principal sospechoso de los ataques contra el Pent√°gono y la NASA, el Comando Central de Estados Unidos. Tambi√©n se le acusa de atacar el Ministerio de Relaciones Exteriores de Finlandia.

El grupo de hacking tambi√©n vulner√≥ los sistemas de una entidad gubernamental europea no revelada. Lo hicieron utilizando una combinaci√≥n de troyanos de administraci√≥n remota (RAT) recientemente actualizados y puertas traseras basadas en llamadas de procedimiento remoto (RPC). Esto seg√ļn un informe de octubre publicado por Accenture Cyber ‚Äč‚ÄčThreat Intelligence (ACTI).

Estos hackers respaldados por el estado naci√≥n tambi√©n son conocidos por los m√©todos poco ortodoxos que utilizan durante sus campa√Īas de ciberespionaje.  Por ejemplo, crear troyanos de puerta trasera con sus propias API y controlar malware mediante comentarios en las fotos de Instagram de Britney Spears. Incluso por secuestrar la infraestructura y el malware iran√≠ APT OilRig y usarlo en sus propias campa√Īas.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información