Grupo de hacking ruso utiliza Dropbox para almacenar datos robados

El grupo de hacking Turla, respaldado por Rusia, ha utilizado un conjunto de herramientas de malware previamente indocumentado para implementar puertas traseras. También ha robado documentos confidenciales en campañas de ciberespionaje dirigidas a objetivos de alto perfil. Por ejemplo, el Ministerio de Relaciones Exteriores de los países de la Unión Europea.

El framework de malware previamente desconocido, llamado Crutch por sus autores, se utilizó en campañas que abarcan desde 2015 hasta al menos principios de 2020.

El malware Crutch de Turla fue diseñado para ayudar a recolectar y filtrar documentos confidenciales. Asimismo, para subir otros archivos de interés a las cuentas de Dropbox controladas por el grupo de hacking ruso.

“La sofisticación de los ataques y los detalles técnicos del descubrimiento fortalecen aún más la percepción de que el grupo Turla es muy peligroso. El grupo tiene recursos considerables para operar un arsenal tan grande y diverso”. Esto según el investigador de ESET Matthieu Faou en un informe publicado hoy y compartido públicamente.

“Además, Crutch puede eludir algunas capas de seguridad al abusar de la infraestructura legítima, en este caso, Dropbox. Esto para integrarse en el tráfico de red normal mientras filtra los documentos robados y recibe comandos de sus operadores”.

Enlaces a otros programas maliciosos de Turla

Los investigadores de ESET pudieron vincular a Crutch con el grupo ruso de amenazas persistentes avanzadas (APT) Turla basándose en similitudes. Tiene similitudes con la puerta trasera Gazer de segunda etapa (también conocida como WhiteBear) que los actores de amenazas utilizaron entre 2016 y 2017.

Utilizaron la misma clave RC4 para descifrar payloads y nombres de archivo idénticos mientras se colocaban en la misma máquina comprometida en septiembre de 2017. También usaron las mismas rutas PDB casi idénticas; estos son solo algunos de los vínculos fuertes entre los dos observados por ESET.

“Dados estos elementos y que no conocemos que las familias del malware Turla se compartan entre diferentes grupos, creemos que Crutch es una familia de malware que forma parte del arsenal de Turla”.

Matthieu Faou

Los registros de tiempo de más de 500 archivos ZIP que contienen documentos robados y subidos en las cuentas de Dropbox de Turla tienen algo peculiar. Los documentos subidos entre octubre de 2018 y julio de 2019 muestran algo llamativo. Las horas de trabajo de los operadores de Crutch se alinean con la zona horaria rusa UTC+3.

Dropbox utilizado como almacenamiento de datos robados

Turla envió Crutch como una puerta trasera de segunda etapa en máquinas ya comprometidas que utilizan implantes de primera etapa como Skipper durante 2017. Esto meses después del compromiso inicial. En algunos casos usaron el framework de post-explotación de código abierto PowerShell Empire.

Las primeras versiones de Crutch (entre 2015 y mediados de 2019) usaban canales de puerta trasera para comunicarse con la cuenta de Dropbox codificada. Lo hacían a través de la API HTTP oficial y herramientas de monitoreo de unidades sin capacidades de red. Las herramientas buscaban y archivaban documentos interesantes como archivos cifrados.

Una versión actualizada (identificada como ‘versión 4’ por ESET) agregó un monitor de unidad extraíble con capacidades de red. Este eliminó las capacidades de puerta trasera.

Sin embargo, permite un enfoque no manual. Este es capaz de “subir automáticamente los archivos que se encuentran en unidades locales y extraíbles al almacenamiento de Dropbox. Esto mediante la versión para Windows de la utilidad Wget”.

Arquitectura del malware Crutch (ESET)

Ambas versiones utilizan el secuestro de DLL para ganar persistencia en dispositivos comprometidos en Chrome, Firefox o OneDrive. Y, Crutch v4 se envía como “un antiguo componente de Microsoft Outlook”.

“Crutch muestra que al grupo no le faltan puertas traseras nuevas o actualmente indocumentadas”, concluyó Faou.

“Este descubrimiento refuerza aún más la percepción de que el grupo Turla tiene recursos considerables para operar un arsenal tan grande y diverso”.

Grupo de espionaje poco ortodoxo

En total, a lo largo de sus campañas de espionaje, Turla ha comprometido miles de sistemas pertenecientes a gobiernos, embajadas. Asimismo, instalaciones de educación e investigación de más de 100 países.

El grupo ruso Turla APT (también conocido como Waterbug y VENOMOUS BEAR) no es nuevo. Anteriormente ha estado detrás de campañas de robo de información y espionaje que se remontan a 1996.

Turla es el principal sospechoso de los ataques contra el Pentágono y la NASA, el Comando Central de Estados Unidos. También se le acusa de atacar el Ministerio de Relaciones Exteriores de Finlandia.

El grupo de hacking también vulneró los sistemas de una entidad gubernamental europea no revelada. Lo hicieron utilizando una combinación de troyanos de administración remota (RAT) recientemente actualizados y puertas traseras basadas en llamadas de procedimiento remoto (RPC). Esto según un informe de octubre publicado por Accenture Cyber ​​Threat Intelligence (ACTI).

Estos hackers respaldados por el estado nación también son conocidos por los métodos poco ortodoxos que utilizan durante sus campañas de ciberespionaje.  Por ejemplo, crear troyanos de puerta trasera con sus propias API y controlar malware mediante comentarios en las fotos de Instagram de Britney Spears. Incluso por secuestrar la infraestructura y el malware iraní APT OilRig y usarlo en sus propias campañas.

Deja un comentario