MADRID, 21 (Portaltic/EP)
El grupo de hackers rusos Turla ha accedido a las herramientas e infraestructura de otro equipo de hackeo iraní para expandir el alcance de sus ciberataques a nuevas víctimas, sobre todo en la zona de Oriente Próximo donde los objetivos entre ambos grupos coinciden.
Un informe emitido por el Centro de Ciberseguridad Nacional de Reino Unido (NCSC), en colaboración con la Agencia de Seguridad Nacional de Estados Unidos (NSA), ha desvelado que el grupo de Turla, asociado a actores rusos, está probando herramientas iraníes sobre aquellas víctimas que ya tenía comprometidas con su herramienta Snake para después implementarlas sobre víctimas adicionales.
"Turla busca expandir su acceso a las víctimas de interés escaneando en busca de la presencia de puertas traseras iraníes e intentando usarlas para ganar puntos de apoyo", declaran en el informe. El centro de esta actividad, según ambas agencias de seguridad, se encuentra en la zona de Oriente Próximo, donde "los objetivos de interés de las Amenazas Persistentes Avanzadas (APT) de ambos se solapan".
Como señalan en el documento, el grupo Turla utiliza una variedad de herramientas y técnicas que tienen como objetivo "organizaciones gubernamentales, militares, tecnológicas, energéticas y comerciales" para recopilar información de inteligencia. Entre estas técnicas se ha sabido por documentos anteriores que han utilizado los implantes Neuron y Nautilus y una puerta trasera basada en ASPX junto con su 'rootkit' Snake.
La NCSC y la NSA señalan en el informe que "casi seguramente aquellos detrás de Neuron y Nautilus no fueron conscientes ni cómplices en el uso que hizo Turla de sus implantes".
El procedimiento que han seguido para expandir su alcance a nuevas víctimas se basa en que Turla accedió y usó la infraestructura de Comando y Control (C2) de las APT iraníes, en concreto, los paneles C2 'Poison Forg' (rana envenenada) desde su propia infraestructura para hacer que las víctimas se descargaran herramientas adicionales.
Este acceso le ha proporcionado a Turla un "conocimiento sin precedentes de tácticas, técnicas y procedimientos (TTP) del APT iraní", según el documento, "incluyendo listas de víctimas activas y credenciales para acceder a sus infraestructuas, así como el código necesario para construir versiones de herramientas como Neuron para el uso completamente independiente de la infraestructura iraní C2", explican.
EL PROCESO DE HACKEO
Tanto el tiempo en el que se desarrollaron los incidentes como el comportamiento de Turla "activamente escaneando puertas traseras iraníes", afirman en el informe, "indica que mientras que las herramientas de Neuron y Nautilus fueron iraníes en su origen, Turla estuvo utilizando estas herramientas y accesos independientemente para expandir sus propios requisitos de inteligencia".
La investigación señala que "mientras algunos implantes han sido instalados y administrados por una infraestructura asociada al grupo Turla, otros han sido previamente conectados por direcciones IP de Servidor Privado Virtual (VPS) asociadas en la comunidad de ciberseguridad de código abierto con grupos APT iraníes".
En otros casos, Turla implantó Neuron en los sistemas de las víctimas a los que ya tenía acceso porque ya había implantado su herramienta Snake, con "todas las conexiones observadas de la infraestructura asociada a Turla", explican. Las redes de víctimas de snake también permitieron a este grupo ruso escanear en busca de las puertas traseras ASPX 'shell', para acceder a un directorio de direcciones IP en al menos 35 países".
Por último, en el informe concluyen que la mejor forma para mitigar el riesgo de sufrir estos ciberataques es asegurarse de que los productos afectados cuenten con las actualizaciones de seguridad más recientes.
La NCSC ya publicó a finales de 2017 y inicios de 2018 dos informes que desvelaban que un grupo de hackers denominado Turla estaba haciendo uso de las herramientas Neuron y Nautilus así como de Snake para atacar a varias víctimas que, en estudios posteriores se descubrió que "un gran grupo" de ellas se encontraban en la zona de Oriente Próximo, de acuerdo con el informe.
Entre estas víctimas, se encontraban establecimientos militares, departamentos gubernamentales, organizaciones científicas y universidades, teniendo algunas de ellas, además Snake implantado.