Grupo de ciberespionaje “Darkhotel” impulsa ataques con “exploit” filtrado de Hacking Team

Después de la filtración pública de archivos que pertenecían a Hacking Team – la empresa conocida por vender “spyware legal” a algunos gobiernos y a las fuerzas del orden – varios grupos de ciberespionaje han empezado a utilizar, para sus propios fines maliciosos, las herramientas que Hacking Team proporcionaba a sus clientes para realizar ataques. Esto incluye muchos exploits para Flash Player de Adobe y para el Sistema Operativo Windows. Al menos uno de ellos se ha vuelto a utilizar por el poderoso actor de ciberespionaje “Darkhotel”.

Kaspersky Lab descubrió a través de sus expertos que “Darkhotel”, un grupo élite de espionaje y famoso por infiltrar redes Wi-Fi en hoteles de lujo para comprometer a ejecutivos corporativos específicos, ha estado utilizando una vulnerabilidad “día cero” de la colección de Hacking Team desde principios de julio, justo después de la filtración famosa de los archivos de Hacking Team el pasado 5 de julio.  Se desconocía que fuera un cliente de Hacking Team, de manera que el grupo Darkhotel parece haber acaparado los archivos una vez que éstos fueron puestos a disposición del público.

Este no se trata del único “día cero” del grupo. Kaspersky Lab estima que en los últimos años han tenido media docena o incluso, más vulnerabilidades “día cero” para Flash Player de Adobe, y aparentemente invirtiendo cantidades significativas para complementar su arsenal. En el año 2015, el grupo Darkhotel extendió su alcance geográfico alrededor del mundo y continuó con sus ataques selectivos mediante “spearphishing” en Corea del Norte y Sur, Rusia, Japón, Bangladesh, Tailandia, India, Mozambique y Alemania.

Apoyo colateral de Hacking Team

Los investigadores de seguridad de Kaspersky Lab registraron nuevas técnicas y actividades de Darkhotel, un actor de amenaza persistente avanzada que ha estado activo durante casi ocho años. En ataques realizados en 2014 y antes, el grupo abusó de certificados de firma de código y empleó métodos inusuales como comprometer sistemas de Wi-Fi en hoteles para filtrar herramientas de espionaje en los sistemas del objetivo. En 2015, muchas de estas técnicas y actividades se siguen utilizando, pero Kaspersky Lab también descubrió nuevas variantes de archivos ejecutables maliciosos, el uso continuo de certificados robados, técnicas implacables de ingeniería social y la implementación de la vulnerabilidad día cero de Hacking Team:

  • Uso continuo de certificados robados. El grupo Darkhotel parece conservar una reserva de certificados robados e implementa sus descargadores y puertas traseras firmadas con ellos para burlar al sistema seleccionado. Algunos de los más recientes certificados revocados incluyen Xuchang Hongguang Technology Co. Ltd. – la compañías cuyos certificados se utilizaron en ataques previos llevados a cabo por el actor de la amenaza.
  • Spearphishing implacable. La amenaza persistente avanzada de Darkhotel es en verdad persistente: trata de obtener información confidencial de un objetivo, y en caso de no tener éxito, regresa varios meses más tarde para intentarlo nuevamente con esquemas de ingeniería social muy similares.
  • Implementación del exploit día cero de Hacking Team. El sitio web comprometido, tisone360.com, contiene un grupo de puertas traseras y exploits. El más interesante de éstos es la vulnerabilidad día cero para Flash de Hacking Team.

“Darkhotel regresó con otro exploit para Flash Player hospedado en un sitio web comprometido, y en esta ocasión parece haber sido impulsado por la filtración de las herramientas de Hacking Team. El grupo ya había distribuido un exploit para Flash diferente en el mismo sitio, el cual nosotros lo reportamos como un día cero para Adobe en enero de 2014. Darkhotel parece haber quemado un montón de días cero para Flash y exploits de medio día en los últimos años, y puede haber acumulado más para llevar al cabo ataques precisos en individuos de alto nivel en todo el mundo. Sabemos de ataques previos que Darkhotel espía a Directores Ejecutivos, Vicepresidentes, directores de ventas y mercadotecnia así como a empleados de alto nivel de investigación y desarrollo,”dijo Kurt Baumgartner, Investigador Principal de Seguridad en Kaspersky Lab.   

Desde el año pasado, el grupo ha trabajado duro para mejorar sus técnicas de defensa, por ejemplo, expandiendo su lista de tecnología anti detección. La versión 2015 del descargador Darkhotel está diseñado para identificar tecnologías antivirus de 27 proveedores, con la intensión de eludirlas.

Para obtener más información, por favor lea el blog disponible en Securelist: http://www.viruslist.com/sp/weblog?weblogid=208189097  

La guía general para mitigar amenazas persistentes avanzadas está disponible en este artículo: https://securelist.com/blog/software/69887/how-to-mitigate-85-of-threats-with-only-four-strategies/

Acerca de Kaspersky Lab

Kaspersky Lab es una de las compañías de seguridad informática de más rápido crecimiento del mundo y la más grande de propiedad privada. La empresa se sitúa entre las cuatro mejores del mundo como proveedora de soluciones de seguridad para TI (IDC, 2014). Desde 1997, Kaspersky Lab ha sido innovadora en ciberseguridad y ofrece soluciones de seguridad digital eficaces e inteligencia de amenazas para las grandes corporaciones, PyMEs y público en general. Kaspersky Lab es una compañía internacional que opera en casi 200 países y territorios de todo el mundo, y que ofrece protección para más de 400 millones de usuarios a nivel mundial. Más información en http://latam.kaspersky.com .

¡Comparte!

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Artículos relacionados

Regreso a clases 2024: ¿Cómo elegir una laptop ideal para cada estudiante?

El regreso a clases es un momento crucial para...

Estafadores utilizan los deepfakes de voz de celebridades y apuntan a usuarios de redes sociales

operandi de los ciberdelincuentes que adaptan tecnologías emergentes para...

Postura de Kaspersky ante la desarticulación de LockBit

Comentario atribuible a Alexander Zabrovsky, Analista de Huella Digital en...

Soluciones de infraestructura que se adaptan a los requerimientos de la Industria actual

Para optimizar el funcionamiento de diversas instalaciones es importante...

Snufkin: Melody of Moominvalley será lanzado para Nintendo Switch y PC el 7 de marzo

Destacado durante el Nintendo Direct de hoy, el juego...