Hackers rusos han pirateado entidades diplom¨¢ticas en la UE, seg¨²n Kaspersky

Conocidos en la ciberescena, Turla APT es un grupo de hackers rusos cuyo ¡®trabajo¡¯ en la ¨²ltima d¨¦cada ha sido asociado a no pocos ciberataques a organizaciones gubernamentales, diplom¨¢ticas, tecnol¨®gicas y hasta de investigaci¨®n. Y se les ha rastreado a esas actividades porque al grupo le gusta usar una mezcla de t¨¦cnicas y malwares muy conocidos - f¨¢cilmente identificables- junto a un repertorio de nuevas ciberarmas creadas por ellos.

Turla APT

Turla, conocidos tambi¨¦n por otros nombres como Snake, Waterbug o Venomous Bear, centra muchos de sus ataques en entidades de naciones pertenecientes o dentro de la OTAN y la Commonwealth de Estados Independientes (una organizaci¨®n de rep¨²blicas post-sovi¨¦ticas en Eurasia formada tras la disoluci¨®n de la Uni¨®n Sovi¨¦tica en 1991).

De hecho, los investigadores de la compa?¨ªa experta en ciberseguridad Kaspersky creen que Turla APT est¨¢ financiada por nada menos que el Estado Ruso, y ha sido usada en todo tipo de operaciones de ciberespionaje, como los recientes ataques a diferentes entidades diplom¨¢ticas a trav¨¦s de todo el territorio europeo.

El spyware COMPfun

Seg¨²n un comunicado de Kaspersky, Turla ha usado herramientas de ¡®Spyware¡¯, un tipo de virus que se encarga de recopilar de forma fraudulenta informaci¨®n sobre la navegaci¨®n del usuario, adem¨¢s de datos personales y bancarios. Un ejemplo de este tipo de virus son los Keyloggers, los cuales monitorizan toda nuestra actividad con el teclado (teclas que se pulsan), para luego enviarla al hacker.

Y el arma elegida es nada menos que el malware COMPfun, un viejo conocido que atrajo la atenci¨®n de los investigadores por primera vez en 2014, y tuvo en 2019 un sucesor llamado Reductor, una nueva versi¨®n de COMPfun que Kaspersky descubri¨® el a?o pasado. Al parecer, COMPfun ha mutado en una nueva ¡®cepa¡¯ para este 2020, una nueva versi¨®n actualizada del malware que Turla ha utilizado para atacar a instituciones diplom¨¢ticas que gestionan permisos de visado, escondiendo el spyware en solicitudes de visado falsas.

COMPfun es ¡°un t¨ªpico troyano de acceso remoto que puede infectar a la v¨ªctima¡±, luego recopilar datos del sistema, registrar pulsaciones de teclas y hacer una captura de pantalla del escritorio del usuario, y finalmente enviar todos los datos recopilados al mismo servidor remoto que lo dirige y controla.

Hackeo diplom¨¢tico por Spyware

La nueva versi¨®n de COMPfun tambi¨¦n incluye 2 nuevas caracter¨ªsticas:

- La primera es que puede monitorear cu¨¢ndo un dispositivo extra¨ªble USB se conecta a un host infectado, y luego difundir su informaci¨®n al nuevo dispositivo.

- La segunda es una nueva infraestructura C&C de Mando y Control diferente al que ten¨ªa.

De acuerdo con Kaspersky, este nuevo protocolo de malware C & C no utiliza el modo de funcionamiento cl¨¢sico, debido a que los investigadores de seguridad y los productos de seguridad suelen analizar el tr¨¢fico HTTP / HTTPS en busca de patrones de comandos de malware similares.

Cuando el personal de seguridad ve par¨¢metros similares a los de la CLI (Interfaz de L¨ªnea de Comandos / ?rdenes, un m¨¦todo que permite a los usuarios dar instrucciones a alg¨²n programa inform¨¢tico por medio de una l¨ªnea de texto simple) en los encabezados o el tr¨¢fico HTTP, indica que se est¨¢ produciendo un comportamiento malicioso. Para evitar este tipo de detecci¨®n, el equipo de Turla ha desarrollado un nuevo servidor basado en los c¨®digos de estado de HTTP, que es el protocolo de cliente C & C.

Por supuesto no han trascendido qu¨¦ pa¨ªses han sido los afectados, pero los investigadores de Kaspersky siguen estudiando a Turla y su nuevo ¡®juguete¡¯ en un momento actual en que las crisis del Covid-19 ha vcuelto a todos los pa¨ªses del mundo -no s¨®lo la zona euro- muy vulnerables debido a la situaci¨®n sanitaria, pol¨ªtica y econ¨®mica que vivimos.