Código implementado en un ciberataque estadounidense vinculado a presuntos piratas informáticos rusos Espionaje


Una empresa de ciberseguridad con sede en Moscú ha informado que parte del código malicioso empleado contra el gobierno de EE. UU. En un ciberataque el mes pasado se superpone con el código utilizado anteriormente por presuntos piratas informáticos rusos.

los recomendaciones por Kaspersky, los investigadores pueden proporcionar la primera evidencia pública para respaldar las acusaciones de Washington de que Moscú estuvo detrás del mayor ataque cibernético contra el gobierno en años, que afectó a 18,000 usuarios de program producido por SolarWinds, incluidas las agencias gubernamentales de EE. UU.

Sin embargo, los investigadores de Kaspersky advirtieron que las similitudes del código no confirman que el mismo grupo esté detrás de ambos ataques.

Según los hallazgos, publicados por los investigadores Georgy Kucherin, Igor Kuznetsov y Costin Raiu, una «puerta trasera» llamada Sunburst utilizada para comunicarse con un servidor controlado por los piratas informáticos se parecía a otra herramienta de piratería llamada Kazuar, que anteriormente había sido atribuida a Turla APT. (amenaza persistente avanzada).

Los ataques de Turla se han documentado desde al menos 2008, cuando se creía que el grupo se había infiltrado en el Comando Central de Estados Unidos. Más tarde, Turla estuvo implicada en ataques a embajadas en varios países, ministerios, servicios públicos, proveedores de atención médica y otros objetivos. Varias empresas de ciberseguridad han dicho que creen que el equipo de piratería es ruso, y un Informe de inteligencia de Estonia de 2018 dice que el grupo está «vinculado al servicio de seguridad federal, FSB».

Las agencias de inteligencia estadounidenses emitieron la semana pasada una declaración conjunta acusando a Moscú de lanzar el ataque, que dijeron que estaba «en curso» más de un mes después de haberse hecho público. Moscú ha negado su responsabilidad.

La puerta trasera Sunburst utilizada en el ataque reciente permitió a los piratas informáticos recibir informes sobre computadoras infectadas y luego apuntar a aquellas que consideraban interesantes para una mayor explotación. La gran mayoría de las 18.000 máquinas infectadas no fueron remitidas para su posterior explotación, lo que demuestra que el ataque fue muy selectivo.

Los investigadores de Kaspersky encontraron que las funciones que mantenían al malware inactivo durante semanas, así como la forma en que codificaba la información sobre los objetivos, parecían tener enlaces a Kazuar, que era reportado por primera vez por Palo Alto Networks en 2017. “Un sello distintivo de las operaciones de Turla son las iteraciones de sus herramientas y el linaje del código en Kazuar se remonta al menos a 2005”, informó entonces la firma de ciberseguridad.

Los investigadores de Kaspersky dijeron que podría haber otras explicaciones para la superposición de codificación además de que Turla esté detrás del ataque SolarWinds. Es posible que los atacantes se “inspiraron” en el código Kazuar que ambos grupos obtuvieron su malware de la misma fuente que un ex miembro de Turla llevó el código a un nuevo equipo o que el código se utilizó como una «bandera falsa», desplegada en el ataque específicamente para atraer la culpa a Turla e implicar a Moscú.

“Sin embargo, son coincidencias curiosas”, escribió el grupo. «Una coincidencia no sería tan inusual, dos coincidencias definitivamente levantarían una ceja, mientras que tres coincidencias de este tipo son algo sospechosas para nosotros».



Enlace a la noticia unique