1

“Darkhotel” impulsa ataques con “exploit” filtrado de Hacking Team

La filtración pública de archivos que pertenecían a la empresa italiana Hacking Team, conocida por vender “spyware legal” a gobiernos en América Latina y a las fuerzas del orden, ha dado lugar a que varios grupos de ciberespionaje han empezado a utilizar, para sus propios fines maliciosos, las herramientas que Hacking Team proporcionaba a sus clientes para realizar ataques.

Esto incluye muchos exploits para Flash Player de Adobe y para el Sistema Operativo Windows. Al menos uno de ellos ya es públicamente reconocido, el poderoso actor de ciberespionaje “Darkhotel”.

Kaspersky Lab descubrió a través de sus expertos que “Darkhotel”, un grupo élite de espionaje y famoso por infiltrar redes Wi-Fi en hoteles de lujo para comprometer a ejecutivos corporativos específicos, ha estado utilizando una vulnerabilidad día cero de la colección de Hacking Team desde principios de julio, justo después de la filtración famosa de los archivos de Hacking Team.  Se desconocía que fuera un cliente de Hacking Team, de manera que el grupo “Darkhotel” parece haber acaparado los archivos una vez que éstos fueron puestos a disposición del público.

Este no se trata del único día cero del grupo. Kaspersky Lab estima que en los últimos años han tenido media docena o incluso, más días cero para Flash Player de Adobe, y aparentemente invirtiendo cantidades significativas para complementar su arsenal.

En el año 2015, el grupo Darkhotel extendió su alcance geográfico alrededor del mundo y continuó con sus ataques selectivos mediante “spearphishing” en Corea del Norte y del Sur, Rusia, Japón, Bangladesh, Tailandia, India, Mozambique y Alemania.

Kurt Baumgastner, investigador principal de Seguridad en Kaspersky Lab, es de la opinión que Darkhotel regresó con otro exploit para Flash Player hospedado en un sitio web comprometido, “y en esta ocasión parece haber sido impulsado por la filtración de las herramientas de Hacking Team”.

-El grupo ya había distribuido un exploit para Flash diferente en el mismo sitio, el cual nosotros lo reportamos como un día cero para Adobe en enero de 2014. Darkhotel parece haber quemado un montón de días cero para Flash y exploits de medio día en los últimos años, y puede haber acumulado más para llevar al cabo ataques precisos en individuos de alto nivel en todo el mundo. Sabemos de ataques previos que Darkhotel espía a directores ejecutivos, vicepresidentes, directores de ventas y mercadotecnia así como a empleados de alto nivel de investigación y desarrollo.

 

Apoyo colateral de Hacking Team

Los investigadores de seguridad de Kaspersky Lab registraron nuevas técnicas y actividades de Darkhotel, un actor de amenaza persistente avanzada que ha estado activo durante casi ocho años. En ataques realizados en 2014 y antes, el grupo abusó de certificados de firma de código y empleó métodos inusuales como comprometer sistemas de Wi-Fi en hoteles para filtrar herramientas de espionaje en los sistemas del objetivo.

En 2015, muchas de estas técnicas y actividades se siguen utilizando, pero Kaspersky Lab también descubrió nuevas variantes de archivos ejecutables maliciosos, el uso continuo de certificados robados, técnicas implacables de ingeniería social y la implementación de la vulnerabilidad día cero de Hacking Team:

  • Uso continuo de certificados robados. El grupo Darkhotel parece conservar una reserva de certificados robados e implementa sus descargadores y puertas traseras firmadas con ellos para burlar al sistema seleccionado. Algunos de los más recientes certificados revocados incluyen Xuchang Hongguang Technology Co. Ltd., la compañías cuyos certificados se utilizaron en ataques previos llevados a cabo por el actor de la amenaza.
  • Spearphishing implacable. La amenaza persistente avanzada de Darkhotel es en verdad persistente: trata de obtener información confidencial de un objetivo, y en caso de no tener éxito, regresa varios meses más tarde para intentarlo nuevamente con esquemas de ingeniería social muy similares.
  • Implementación del exploit día cero de Hacking Team. El sitio web comprometido, tisone360.com, contiene un grupo de puertas traseras y exploits. El más interesante de éstos es la vulnerabilidad día cero para Flash de Hacking Team.

 

Desde el año pasado, el grupo ha trabajado duro para mejorar sus técnicas de defensa, por ejemplo, expandiendo su lista de tecnología anti detección.  La versión 2015 del descargador Darkhotel está diseñado para identificar tecnologías antivirus de 27 proveedores, con la intensión de eludirlas.

 

Mario Augusto Beroes Ríos

Periodista graduado en la UCV en la mención Audiovisual.