Antivirus ESET descubre atacantes que aprovecharon la reciente vulnerabilidad de día cero del sistema operativo Windows para realizar ciberespionaje

Seguridad / Antivirus ESET descubre atacantes que aprovecharon la reciente vulnerabilidad de día cero del sistema operativo Windows para realizar ciberespionaje 4 minutos de lectura

Ilustración de ciberseguridad



Los creadores del popular software antivirus y de seguridad digital ESET han descubierto a los atacantes que explotaron una vulnerabilidad de día cero reciente del sistema operativo Windows. Se cree que el grupo de piratas informáticos detrás del ataque está llevando a cabo un ciberespionaje. Curiosamente, este no es un objetivo o metodología típica del grupo que se conoce con el nombre de 'Buhtrap' y, por lo tanto, el exploit indica claramente que el grupo puede haber pivotado.

El fabricante de antivirus eslovaco ESET ha confirmado que un grupo de piratas informáticos conocido como Buhtrap está detrás de una vulnerabilidad reciente de día cero del sistema operativo Windows que fue explotada en la naturaleza. El descubrimiento es bastante interesante y preocupante porque las actividades del grupo fueron severamente restringidas hace unos años cuando su base de código de software central se filtró en línea. Según los informes, el ataque utilizó una vulnerabilidad de día cero del sistema operativo Windows recién reparada para realizar ciberespionaje. Este es sin duda un nuevo desarrollo preocupante, principalmente porque Buhtrap nunca mostró interés en extraer información. Las principales actividades del grupo consistían en robar dinero. Cuando era muy activo, los principales objetivos de Buhtrap eran las instituciones financieras y sus servidores. El grupo utilizó su propio software y códigos para comprometer la seguridad de los bancos o sus clientes para robar dinero.



Por cierto, Microsoft acaba de publicar un parche para bloquear la vulnerabilidad del sistema operativo Windows de día cero. La empresa había identificado el error y lo había etiquetado. CVE-2019-1132 . El parche era parte del paquete Patch Tuesday de julio de 2019.



Buhtrap gira hacia el ciberespionaje:

Los desarrolladores de ESET han confirmado la participación de Buhtrap. Además, el fabricante de antivirus incluso agregó que el grupo estaba involucrado en la realización de ciberespionaje. Esto va completamente en contra de las hazañas anteriores de Buhtrap. Por cierto, ESET está al tanto de las últimas actividades del grupo, pero no ha divulgado los objetivos del grupo.



Curiosamente, varias agencias de seguridad han indicado repetidamente que Buhtrap no es un grupo de piratas informáticos patrocinado por el estado. Los investigadores de seguridad confían en que el grupo opera principalmente desde Rusia. A menudo se compara con otros grupos de piratería enfocados como Turla, Fancy Bears, APT33 y Equation Group. Sin embargo, hay una diferencia crucial entre Buhtrap y otros. El grupo rara vez sale a la superficie o se responsabiliza de sus ataques abiertamente. Además, sus objetivos principales siempre han sido las instituciones financieras y el grupo buscó dinero en lugar de información.

Buhtrap apareció por primera vez en 2014. El grupo se dio a conocer después de perseguir a muchas empresas rusas. Estos negocios eran de tamaño bastante pequeño y, por lo tanto, los atracos no ofrecieron muchos beneficios lucrativos. Aún así, obteniendo éxito, el grupo comenzó a apuntar a instituciones financieras más grandes. Buhtrap comenzó a perseguir bancos rusos relativamente bien protegidos y asegurados digitalmente. Un informe de Group-IB indica que el grupo Buhtrap logró salirse con la suya con más de $ 25 millones. En total, el grupo allanó con éxito unos 13 bancos rusos, empresa de seguridad reclamada Symantec . Curiosamente, la mayoría de los atracos digitales se ejecutaron con éxito entre agosto de 2015 y febrero de 2016. En otras palabras, Buhtrap logró explotar unos dos bancos rusos por mes.

Las actividades del grupo Buhtrap cesaron repentinamente después de que su propia puerta trasera Buhtrap, una combinación ingeniosamente desarrollada de herramientas de software, surgió en línea. Los informes indican que algunos miembros del propio grupo podrían haber filtrado el software. Si bien las actividades del grupo se detuvieron abruptamente, el acceso al poderoso conjunto de herramientas de software permitió que florecieran varios grupos de piratería menores. Usando el software ya perfeccionado, muchos grupos pequeños comenzaron a realizar sus ataques. La principal desventaja fue la gran cantidad de ataques que tuvieron lugar utilizando la puerta trasera de Buhtrap.

Desde la filtración de la puerta trasera de Buhtrap, el grupo pivotó activamente para realizar ciberataques con una intención completamente diferente. Sin embargo, los investigadores de ESET afirman que han visto las tácticas de cambio del grupo desde diciembre de 2015. Aparentemente, el grupo comenzó a apuntar a agencias e instituciones gubernamentales, señaló ESET, “Siempre es difícil atribuir una campaña a un actor en particular cuando sus herramientas El código fuente está disponible gratuitamente en la web. Sin embargo, dado que el cambio en los objetivos se produjo antes de la filtración del código fuente, evaluamos con gran confianza que las mismas personas detrás de los primeros ataques de malware Buhtrap contra empresas y bancos también están involucradas en la selección de instituciones gubernamentales '.

Los investigadores de ESET pudieron reclamar la mano de Buhtrap en estos ataques porque pudieron identificar patrones y descubrieron varias similitudes en la forma en que se llevaron a cabo los ataques. 'Aunque se han agregado nuevas herramientas a su arsenal y se han aplicado actualizaciones a las más antiguas, las Tácticas, Técnicas y Procedimientos (TTP) utilizados en las diferentes campañas de Buhtrap no han cambiado drásticamente durante todos estos años'.

¿Buhtrap utiliza una vulnerabilidad de día cero del sistema operativo Windows que podría comprarse en la Dark Web?

Es interesante notar que el grupo Buhtrap usó una vulnerabilidad dentro del sistema operativo Windows que era bastante reciente. En otras palabras, el grupo implementó una falla de seguridad que generalmente se etiqueta como 'día cero'. Estos defectos generalmente no se corrigen y no son fáciles de conseguir. Por cierto, el grupo ha utilizado vulnerabilidades de seguridad en el sistema operativo Windows antes. Sin embargo, normalmente han confiado en otros grupos de hackers. Además, la mayoría de los exploits tenían parches emitidos por Microsoft. Es muy probable que el grupo haya realizado búsquedas en busca de máquinas Windows sin parche para infiltrarse.

Esta es la primera instancia conocida en la que los operadores de Buhtrap utilizaron una vulnerabilidad sin parchear. En otras palabras, el grupo utilizó una verdadera vulnerabilidad de día cero dentro del sistema operativo Windows. Dado que el grupo obviamente carecía de las habilidades necesarias para descubrir las fallas de seguridad, los investigadores creen firmemente que el grupo pudo haber comprado lo mismo. Costin Raiu, que dirige el Equipo de Análisis e Investigación Global de Kaspersky, cree que la vulnerabilidad de día cero es esencialmente una falla de 'elevación de privilegios' vendida por un corredor de exploits conocido como Volodya. Este grupo tiene un historial de venta de exploits de día cero tanto a grupos de delitos informáticos como de estados-nación.

Hay rumores que afirman que el giro de Buhtrap hacia el ciberespionaje podría haber sido gestionado por la inteligencia rusa. Aunque sin fundamento, la teoría podría ser precisa. Es posible que el servicio de inteligencia ruso reclutó a Buhtrap para que les espiara. El pivote podría ser parte de un acuerdo para perdonar las transgresiones pasadas del grupo en lugar de datos confidenciales corporativos o gubernamentales. Se cree que el departamento de inteligencia de Rusia ha orquestado a tan gran escala a través de grupos de piratería de terceros en el pasado. Los investigadores de seguridad han afirmado que Rusia recluta de manera regular pero informal a personas talentosas para intentar penetrar la seguridad de otros países.

Curiosamente, en 2015, se creía que Buhtrap había estado involucrado en operaciones de ciberespionaje contra gobiernos. Los gobiernos de los países de Europa del Este y Asia Central han afirmado habitualmente que los piratas informáticos rusos han intentado penetrar su seguridad en varias ocasiones.

Etiquetas La seguridad cibernética