Investigador de seguridad identifica nuevo grupo APT mencionado en fuga de Shadow Brokers de 2017


apt-shadow-brokers.jpg

Imagen: Stefano Pollio

Característica especial

La ciberguerra y el futuro de la ciberseguridad

Las amenazas a la seguridad de hoy se han ampliado en alcance y seriedad. Ahora puede haber millones, o incluso miles de millones, de dólares en riesgo cuando la seguridad de la información no se maneja adecuadamente.

Lee mas

Hace tres años y ocho días, el 14 de abril de 2017, un misterioso grupo de piratas informáticos conocidos como Shadow Brokers publicó una colección de herramientas de piratería que terminaron cambiando Internet para siempre.

Conocido como el "Perdido en la traducción"volcado, esta colección de archivos incluía decenas de herramientas de piratería y exploits robados de la Agencia de Seguridad Nacional (NSA) de EE. UU., exploits que muchos creían que EE. UU. estaba utilizando para piratear otros países.

Hoy, tres años después, el archivo más conocido incluido en la filtración es, con mucho, ETERNALBLUE, el exploit que estaba en el corazón de los brotes de ransomware WannaCry y NotPetya.

El misterio de sigs.py

Sin embargo, aunque ETERNALBLUE es el nombre más reconocible en la filtración de Shadow Brokers, hay un archivo que ha atormentado y fascinado a la comunidad de ciberseguridad por encima de cualquier otro.

Llamado "sigs.py, "este archivo es lo que muchos consideran un tesoro de operaciones de ciberespionaje e inteligencia de amenazas.

Se cree que el archivo es un simple escáner de malware que los operadores de la NSA desplegarían en computadoras pirateadas y usarían para buscar la presencia de otras APT (amenazas persistentes avanzadas, un término utilizado para describir grupos de piratería de los estados nacionales).

Contenía 44 firmas para detectar archivos (herramientas de pirateo) implementados por otros grupos de pirateo, numerados del # 1 al # 45, con el # 42 faltante.

El archivo cautivó de inmediato a los investigadores de seguridad. Muchos se dieron cuenta de que ni siquiera estaban cerca de detectar tantas APT como la NSA estaba enumerando en el archivo sigs.py.

Hasta el día de hoy, tres años después, 15 firmas del archivo sigs.py aún permanecen sin atribución, lo que muestra cómo la NSA todavía tiene una visión superior de las operaciones de piratería en el extranjero en comparación con muchos proveedores de seguridad cibernética en la actualidad.

Sin embargo, hoy, en una presentación en la cumbre virtual de ciberseguridad de OPCDE, un investigador de seguridad descubrió un nuevo APT, el que se encuentra detrás de la firma # 37.

Más precisamente, el investigador corrigió un atribución incorrecta de firma # 37 a Tigre de hierro, un presunto grupo de ciberespionaje vinculado a China.

sig37-crysys.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/04/22/ed558cd1-3b6c-4ac9-8392-0b6ea8c4b6c5/sig37-crysys.png

Firma # 37 en el informe de Crysys, con lo que ahora se considera una atribución incorrecta al APT Iron Tiger

Se cree que la nueva APT de Nazar está operando fuera de Irán

Juan Andrés Guerrero-Saade, ex investigador de seguridad de Kaspersky y Google, dice que después de identificar los archivos vinculados a esta firma, cree que la firma # 37 es en realidad para rastrear un nuevo grupo de piratería, que cree que podría estar basado en Irán.

Guerrero-Saade dijo que este grupo de actividades, hasta ahora, no está conectado a ningún grupo que se haya informado públicamente, y se remonta a 2008, aunque el grupo parece haber estado más activo entre 2010 y 2013.

El investigador nombró a este nuevo grupo, el APT Nazar, basado en una cadena que se encuentra dentro del malware.

Guerrero-Saade dice que pudo identificar (con la ayuda de una fuente anónima) víctimas que todavía están infectadas con malware que coincide con la firma # 37. Él dice que las víctimas se encuentran exclusivamente en Irán.

"Curiosamente, y digo esto porque el malware es muy antiguo y se dirige a versiones tan antiguas de Windows, Windows XP y versiones anteriores, todavía hay víctimas que salen de Irán por esto", dijo Guerrero-Saade en una transmisión en vivo.

"Cada vez que todos hablan de Irán como un atacante, comenzamos a pensar en las víctimas occidentales (…), cada vez que pensamos en los objetivos iraníes tendemos a pensar en los APT occidentales", agregó.

"En este caso particular, si tuviéramos que tomar todos los indicadores atributivos al pie de la letra, desafía esa percepción general en la medida en que estamos viendo quizás un grupo de actividades nacido en Irán dirigido a lo que parecen ser víctimas exclusivamente iraníes". "

Guerrero-Saade planea publicar un informe más profundo en el APT de Nazar a finales de esta semana en su blog personal.

Entre los expertos en seguridad cibernética, la búsqueda de los otros 15 APT mencionados en el archivo sigs.py de la NSA continúa.

A continuación se muestra una secuencia grabada de la cumbre virtual OPCDE de hoy.

El artículo se actualizó poco después de la publicación para incluir un enlace a la investigación de Guerrero-Saad, que se publicó antes de lo anunciado.

(incrustar) https://www.youtube.com/watch?v=QImyKDvryq8 (/ incrustar)





Enlace a la noticia original