Descubierto un backdoor en la red de un Ministerio de Asuntos Exteriores europeo
- Endpoint
La amenaza ha sido capaz de sobrepasar varias capas de seguridad, abusando de Dropbox para espiar en la red y robar documentos confidenciales. ESET atribuye el programa backdoor utilizado, denominado Crutch, al grupo de desarrollo de amenazas avanzadas persistentes Turla.
|
Recomendados: Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar Brechas de seguridad, ¿hay opciones? Webinar |
El laboratorio de ESET ha descubierto una amenaza del tipo backdoor aún sin documentar que se utilizaba para robar documentación y espiar en la red del Ministerio de Asuntos Exteriores de un país de la Unión Europea. Los investigadores atribuyen este programa, denominado Crutch, al grupo de desarrollo de amenazas avanzadas persistentes Turla. Debido al tipo de organismo afectado, se piensa que esta familia se ha utilizado solamente para objetivos muy concretos, y la finalidad de este ataque consistía en extraer documentos confidenciales y otros archivos a cuentas de Dropbox controladas por operadores de Turla.
“La actividad principal de este grupo consiste en sustraer documentos y otros archivos sensibles. Debido a la sofisticación del ataque y a los detalles técnicos del descubrimiento, se demuestra que Turla tiene recursos considerables como para operar con este tipo de arsenal tan grande y variado”, asegura Matthieu Faou, investigador de ESET especializado en el grupo Turla. “Además, Crutch es capaz de sobrepasar varias capas de seguridad abusando de las infraestructuras legítimas –Dropbox, en este caso- con el objetivo de mezclarse con el tráfico de red normal mientras se extraen los documentos robados y se reciben comandos de sus operadores”.
ESET se ha fijado en las horas de actividad de los ciberdelincuentes, y ha descubierto que los operadores de Turla están trabajando mientras los sistemas de sus víctimas no están activos. El análisis hace pensar que el grupo de delincuentes trabaja en una zona con huso horario UTC+3.
Los investigadores de ESET han encontrado fuertes vínculos entre Crutch y Gazer que se remontan a 2016. Gazer, también conocido como WhiteBear, es una backdoor de segunda etapa utilizada por Turla entre 2016 y 2017. Turla lleva activo desde hace más de diez años y ha comprometido los sistemas de diferentes gobiernos de todo el mundo, especialmente de misiones diplomáticas, operando un arsenal muy grande de malware a lo largo del tiempo.
