Software comercial hecho en EE. UU. utilizado por entidades estatales para hackear objetivos militares en Europa e Israel

Table Of Contents

• Campaña de hackeo estatal sospechosa contra Europa e Israel utilizó software comercial hecho en EE. UU.
• Enfoque diferente
• Rocket Kitten
• Irán como principal sospechoso

Campaña de hackeo estatal sospechosa contra Europa e Israel utilizó software comercial hecho en EE. UU.

Una campaña de hackeo contra objetivos militares dentro de Israel y Europa ha salido a la luz recientemente y los investigadores detrás del descubrimiento creen que el ataque hizo uso de software disponible comercialmente. Los investigadores de CrowdStrike y la startup Cymmetria presentarán sus hallazgos inusuales en la conferencia de seguridad anual Chaos Communication Congress en Hamburgo el sábado.

Enfoque diferente

Los atacantes criminales han utilizado herramientas disponibles comercialmente, como Metasploit, durante bastante tiempo. Sin embargo, los actores estatales generalmente evitan usar cualquier software comercial, por miedo a que pueda ser rastreado hasta su cliente, lo que llevaría a una protesta pública. Los países tienden a usar software específicamente escrito para la mayoría de los propósitos, para mejorar la seguridad y la independencia. Sin embargo, este ataque en cuestión tomó un nuevo enfoque al malutilizar una herramienta de prueba de seguridad, desarrollada por Core Security, con sede en Boston. Core Security vende sus productos a clientes que desean probar sus propios mecanismos de seguridad.

Los principales hackeos patrocinados por el gobierno han utilizado herramientas específicamente escritas complementadas por programas gratuitos y ampliamente disponibles. Eso se debe en parte a que los programas comerciales podrían ser rastreados hasta clientes específicos. Aunque, la dependencia de ciertas herramientas similares a medida ha permitido a los investigadores reducir un ataque a entidades particulares. Sin embargo, el uso del programa de Core Security añade un nuevo giro a la historia.

Usar el programa de Core Security, que normalmente cuesta $10,000 o $20,000, podría ayudar a confundir las aguas, y el analista de CrowdStrike, Tillmann Werner, dijo que también podría ayudar a una ciberpotencia de segundo nivel a omitir parte del trabajo que frecuentemente realizan China, Rusia y los Estados Unidos. “La respuesta más probable es que no tenían la capacidad de hacerlo por su cuenta”, dijo Werner sobre los hackers, añadiendo que “no hay riesgo de dejar marcas de herramientas.”

Rocket Kitten

Werner y el director ejecutivo de Cymmetria, Gadi Evron, quien también preside el CERT israelí, dijeron que no sabían quién estaba detrás de la campaña. Pero a juzgar por la evidencia de las víctimas, los investigadores sienten que el ataque podría haber sido patrocinado por Irán. Evron ha dicho que han detectado ataques que datan desde abril. Estos ataques incluyen a una empresa israelí “adyacente a la industria de defensa y aeroespacial”, una institución académica israelí, una agencia de defensa de habla alemana y un ministerio de defensa de Europa del Este. La única otra información que tenemos hasta este momento es que los ataques a objetivos basados en Israel fueron infructuosos.

CrowdStrike ha denominado a esta campaña de hackeo como ‘Rocket Kitten’ siguiendo su convención de nombrar a cada grupo de ataques cibernéticos iraníes sospechosos como Kittens. El ataque se basó en hojas de Excel infectadas que fueron enviadas por correo a ejecutivos de los objetivos. El correo solicitaba permiso para ejecutar un programa macro dentro de la hoja de cálculo de Excel. Las macros son pequeñas piezas automatizadas de un programa que están programadas para llevar a cabo una tarea específica.

Sin embargo, en este caso, la macro llevaba una carga de malware portadora. Una vez que el ejecutivo de la empresa objetivo ejecutaba la macro, el malware portador descargaría otros componentes de la herramienta Core Impact de Core y los instalaría en los servidores de estas máquinas. Una de las características de la herramienta Core Impact de Core es su capacidad de sigilo para ocultarse de la detección.

Los términos de licencia de Core prohíben el uso de su programa contra terceros desprevenidos, y el vicepresidente de ingeniería de Core, Flavio de Cristofaro, dijo que la empresa no había oído hablar de tal mal uso en al menos cinco años. De Cristofaro dijo que la empresa ayudaría al CERT si se lo pidieran y, en cualquier caso, intentaría rastrear cómo se había despojado el software de las marcas de agua y otras restricciones técnicas diseñadas para limitar su difusión.

“Lo seguiremos hasta el final”, dijo De Cristofaro.

Irán como principal sospechoso

Desde la supuesta participación de EE. UU. e Israel en el ataque al programa nuclear de Irán a través del virus Stuxnet, se dice que Irán está fortaleciendo sus capacidades de guerra cibernética. El virus Stuxnet ha sido particularmente desestabilizador para el programa nuclear indígena de Irán y es una de las razones por las que se dice que Irán ha llegado a la mesa de negociaciones con las potencias occidentales sobre cuestiones de no proliferación. Anteriormente, hackers con sede en Irán habían llevado a cabo con éxito una operación de hackeo contra Las Vegas Sands Corp., que prácticamente cerró las redes del operador de casino con sede en EE. UU. Este ataque se realizó porque el propietario de Sands Corp. había solicitado a las fuerzas armadas de EE. UU. que bombardearan Irán para detenerlo de proliferar materiales de fisión. Los investigadores de ese ataque de hackeo no encontraron ningún vínculo con el estado de Irán, pero ese hecho no niega que Irán es un país muy ingenioso en las artes de la guerra cibernética.

Resource : Chicago Tribune.