El grupo de ciberdelincuentes Dukes sigue su actividad contra gobiernos europeos

El grupo de ciberdelincuentes Dukes parecía haber cesado su actividad después de un ataque perpetrado en Noruega en enero de 2017. Sin embargo, los investigadores de ESET han descubierto una operación llamada “Ghost”, que comenzó en 2013 pero que sigue en marcha y gracias a la cual Dukes se habría infiltrado en la embajada de un estado miembro de la Unión Europea en Washington y en los Ministerios de Asuntos Exteriores de al menos tres países.

También te puede interesar... Formación y concienciación para mejorar la seguridad Especial Ciberseguridad Industrial Especial Cloud

En esta operación, según explica la compañía de seguridad, los ciberdelincuentes han utilizado un número limitado de herramientas pero se han aprovechado de tácticas muy interesantes para evitar la detección. “Se trata de un grupo muy persistente que no deja de robar credenciales para moverse lateralmente por la red. ESET lo ha observado utilizando credenciales de administrador para comprometer máquinas en la misma red local”, señala.

La plataforma de malware de Dukes es sofisticada y opera en diversas fases. Primero recoge las URL del C&C a través de Twitter o en otras redes sociales y otros sitios web. Después, utiliza Dropbox para recibir órdenes de parte de los atacantes para finalmente instalar una sencilla backdoor o puerta trasera que abre las puertas a la instalación de una backdoor más sofisticada, con muchas funciones y una configuración muy flexible.

ESET ha denominado a las familias de malware fabricadas por Dukes como PolyglotDuke, RegDuke y FatDuke.

Detrás del ataque a los sistemas del Partido Demócrata de 2016
ESET asegura que este grupo es el que accedió a los sistemas de información del Comité Nacional del Partido Demócrata en las Elecciones Presidenciales de Estados Unidos en 2016. “Podemos confirmar con un elevado nivel de certeza que este grupo está detrás de las operaciones de Ghost que sufrió el Partido Demócrata de EEUU”, ha dicho su investigador Matthieu Faou.

El hecho de atribuir estos ataques a Dukes se basa en las similitudes encontradas en la forma en la que han desarrollado esta campaña y las anteriores. De forma específica, Dukes ha utilizado Twitter y Reddit para albergar las URL del centro de mando y control (C&C) y han utilizado la estenografía para ocultar  carga maliciosa en imágenes. Además, los ministerios de Asuntos Exteriores de algunos países han seguido siendo objetivos de ataque (de hecho, dos de ellos ya habían sido comprometidos anteriormente).

“En 2013, cuando se compiló por primera vez PolyglotDuke, solo se había documentado MiniDuke, por lo que creemos que la operación Ghost se comenzó a llevar a cabo a la vez que otras campañas, pero no ha sido detectada hasta ahora”, señaló Faou.