CIBERSEGURIDAD

La caza del amanecer de las APT: un ataque de 20 años que sigue siendo relevante para una APT moderna

Investigadores de Kaspersky Lab y Kings College London, en busca de un vínculo entre un actor de amenazas moderno y los ataques de Moonlight Maze que tuvieron como objetivo el Pentágono, la NASA y más a fines de la década de 1990, han desenterrado muestras, registros y artefactos pertenecientes a la antigua APT. Los hallazgos muestran que una puerta trasera utilizada en 1998 por Moonlight Maze para hacer un túnel de información fuera de las redes de las víctimas se conecta a una puerta trasera utilizada por Turla en 2011 y posiblemente tan recientemente como en 2017. Si se prueba el vínculo entre Turla y Moonlight Maze, colocaría al actor de amenazas evolucionado junto al Grupo de ecuaciones en términos de su longevidad, ya que algunos de los servidores de comando y control de Equation se remontan a 1996.
Los informes contemporáneos sobre Moonlight Maze muestran cómo, a partir de 1996, las redes militares y gubernamentales de EE. UU., Así como las universidades, las instituciones de investigación e incluso el Departamento de Energía comenzaron a detectar brechas en sus sistemas. En 1998, el FBI y el Departamento de Defensa iniciaron una investigación masiva. La historia se hizo pública en 1999, pero gran parte de la evidencia ha permanecido clasificada, dejando los detalles de Moonlight Maze envueltos en mitos y secretos.
A lo largo de los años, los investigadores originales en tres países diferentes han declarado que Moonlight Maze se convirtió en Turla, un actor de amenazas de habla rusa también conocido como Snake, Uroburos, Venomous Bear y Krypton. Se cree convencionalmente que Turla ha estado activo desde 2007.

Las ‘Muestras de armario’

En 2016, mientras investigaba su libro, Rebelión de las máquinas, Thomas Rid, del Kings College London, localizó a un antiguo administrador del sistema cuyo servidor de la organización había sido secuestrado como proxy por los atacantes de Moonlight Maze. Este servidor, ‘HRTest’, se había utilizado para lanzar ataques contra EE. UU. El profesional de TI ahora retirado había conservado el servidor original y las copias de todo lo relacionado con los ataques, y se lo entregó a Kings College y Kaspersky Lab para su posterior análisis.
Los investigadores de Kaspersky Lab, Juan Andres Guerrero-Saade y Costin Raiu, junto con Thomas Rid y Danny Moore de Kings College, pasaron nueve meses realizando un análisis técnico detallado de estas muestras. Reconstruyeron las operaciones, herramientas y técnicas de los atacantes, y llevaron a cabo una investigación paralela para ver si podían probar la supuesta conexión con Turla.
Moonlight Maze fue un ataque de código abierto basado en Unix dirigido a sistemas Solaris, y los hallazgos muestran que hizo uso de una puerta trasera basada en LOKI2 (un programa lanzado en 1996 que permite a los usuarios extraer datos a través de canales encubiertos). Esto llevó a los investigadores a echar un segundo vistazo a algunas raras muestras de Linux utilizadas por Turla que Kaspersky Lab había descubierto en 2014. Nombrado Penquin Turla, estas muestras también se basan en LOKI2. Además, el nuevo análisis mostró que todos utilizan código creado entre 1999 y 2004.
Sorprendentemente, este código todavía se utiliza en ataques. Fue visto en la naturaleza en 2011 cuando fue encontrado en un ataque a un contratista de defensa. Ruag en Suiza que se le ha atribuido a Turla. Luego, en marzo de 2017, los investigadores de Kaspersky Lab descubrieron una nueva muestra de la puerta trasera de Penquin Turla enviada desde un sistema en Alemania. Es posible que Turla use el código antiguo para ataques a entidades altamente seguras que podrían ser más difíciles de violar usando su conjunto de herramientas de Windows más estándar.
“A finales de la década de 1990, nadie preveía el alcance y la persistencia de una campaña coordinada de ciberespionaje. Debemos preguntarnos por qué los atacantes aún pueden aprovechar con éxito el código antiguo en los ataques modernos.. El análisis de las muestras de Moonlight Maze no es solo un fascinante estudio arqueológico; también es un recordatorio de que los adversarios con los recursos necesarios no irán a ninguna parte, depende de nosotros defender los sistemas con habilidades adecuadas «. dijo Juan Andrés Guerrero-Saade, investigador senior de seguridad, equipo de análisis e investigación global de Kaspersky Lab.
Los archivos recién desenterrados de Moonlight Maze revelan muchos detalles fascinantes sobre cómo se llevaron a cabo los ataques utilizando una compleja red de proxies y el alto nivel de habilidades y herramientas utilizadas por los atacantes.
Los productos de Kaspersky Lab detectan y bloquean con éxito el malware utilizado por Moonlight Maze y Penquin Turla.
Los detalles de los registros y secuencias de comandos de Cupboard Samples, así como los indicadores de compromiso y hashes para ayudar a las organizaciones a buscar rastros de estos grupos de ataque en sus redes corporativas son aquí.
Los clientes del servicio de informes de Kaspersky Lab APT Intelligence disponen de inteligencia avanzada detallada sobre las amenazas más recientes y los actores de amenazas. Más información aquí.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Botón volver arriba
Cerrar