25/01/2021

Kaspersky da más pistas sobre el caso de espionaje del 2020

Haz una donación a Anon Candanga

Anon Candanga necesita su apoyo para seguir ofreciendo periodismo militar de calidad, para mantener nuestra apertura y proteger nuestra preciosa independencia. Cada contribución del lector, grande o pequeña, es muy valiosa. Apoya a Anon Candanga desde tan solo 1 €, y solo lleva un minuto. Gracias.

El grupo detrás del ataque a una empresa de software estadounidense usó malware vinculado a piratas informáticos con enlaces al servicio de seguridad del FSB El grupo detrás de una campaña global de ciberespionaje descubierta el mes pasado desplegó un código informático malicioso con enlaces a herramientas de espionaje utilizadas anteriormente por presuntos piratas informáticos rusos, dijeron investigadores.

En la firma de ciberseguridad con sede en Moscú, Kaspersky dijo que la “puerta trasera” utilizada para comprometer hasta 18.000 clientes del fabricante de software estadounidense SolarWinds se parecía mucho al malware vinculado a un grupo de piratería conocido como Turla, que según las autoridades estonias opera en nombre del servicio de seguridad FSB de Rusia.

El grupo detrás de una campaña global de ciberespionaje descubierta el mes pasado desplegó un código informático malicioso con enlaces a herramientas de espionaje utilizadas anteriormente por presuntos piratas informáticos rusos, dijeron los investigadores.

Los hallazgos son la primera evidencia disponible públicamente para respaldar las afirmaciones de los EE. UU. De que Rusia orquestó el ataque, que comprometió una serie de agencias federales sensibles y se encuentra entre las operaciones cibernéticas más ambiciosas jamás reveladas.

Moscú ha negado repetidamente las acusaciones. El FSB no respondió a una solicitud de comentarios.

Costin Raiu, director de investigación y análisis global de Kaspersky, dijo que había tres similitudes distintas entre la puerta trasera de SolarWinds y una herramienta de piratería llamada Kazuar, que utiliza Turla.

Las similitudes incluyeron la forma en que ambas piezas de malware intentaron ocultar sus funciones a los analistas de seguridad, cómo los piratas informáticos identificaron a sus víctimas y la fórmula utilizada para calcular los períodos en los que los virus permanecían inactivos en un esfuerzo por evitar la detección.

YOU MUST READ  Qais al-Khazali, líder del grupo Asa'ib Ahl al-Haq promete vengar a Qasem Soleimani

“Uno de esos hallazgos podría descartarse”, dijo Raiu. “Definitivamente dos cosas me hacen levantar una ceja. Tres es más que una coincidencia “.
Atribuir con seguridad ciberataques es extremadamente difícil y está plagado de posibles peligros. Cuando los piratas informáticos rusos interrumpieron la ceremonia de apertura de los Juegos Olímpicos de Invierno en 2018, por ejemplo, imitaron deliberadamente a un grupo norcoreano para tratar de desviar la culpa.

Raiu dijo que las pistas digitales descubiertas por su equipo no implicaban directamente a Turla en el compromiso de SolarWinds, pero demostraron que había una conexión aún por determinar entre las dos herramientas de piratería.

Era posible que fueran implementados por el mismo grupo, dijo, pero también que Kazuar inspiró a los piratas informáticos de SolarWinds, ambas herramientas se compraron al mismo desarrollador de software espía, o incluso que los atacantes colocaron “banderas falsas” para engañar a los investigadores.

Los equipos de seguridad de EE. UU. Y otros países todavía están trabajando para determinar el alcance total del hack de SolarWinds. Los investigadores han dicho que podría llevar meses comprender el alcance del compromiso e incluso más tiempo desalojar a los piratas informáticos de las redes de víctimas.
Las agencias de inteligencia estadounidenses han dicho que los piratas informáticos eran “probablemente de origen ruso” y se dirigieron a un pequeño número de víctimas de alto perfil como parte de una operación de recopilación de inteligencia.