Los atacantes se dirigen a servidores críticos utilizando tres de las herramientas de hacking desarrolladas por la NSA, incluido DarkPulsar, que fueron filtradas por el grupo de hackers Shadow Brokers
Acorde a reportes de expertos en forense digital, diversos grupos de hackers aprovechan DarkPulsar, DanderSpritz y Fuzzbunch, herramientas de hacking desarrolladas por la Agencia de Seguridad Nacional (NSA), para infectar los sistemas Windows Server 2003 y 2008 en 50 organizaciones en Rusia, Irán y Egipto. Los hackers han utilizado estas poderosas armas cibernéticas para comprometer los sistemas utilizados en la industria aeroespacial, de energía nuclear, investigación y desarrollo, entre otras. Se cree que alrededor de 50 organizaciones de las industrias mencionadas han sido comprometidas.
“DanderSpritz consiste completamente en complementos para recopilar inteligencia, usar exploits y examinar máquinas ya controladas. Está escrito en Java y proporciona una interfaz gráfica de Windows similar a los paneles de administración de botnets, así como una interfaz de consola tipo Metasploit. También incluye sus propios backdoors y complementos para las víctimas no controladas por FuzzBunch”. Informaron Andrey Dolgushev, Dmitry Tarakanov y Vasily Berdnikov, expertos en forense digital.
“Por otro lado, Fuzzbunch proporciona un marco para que diferentes utilidades interactúen y trabajen juntas. Contiene varios tipos de complementos diseñados para analizar víctimas, explotar vulnerabilidades, calendarizar tareas, entre otras características”.
DarkPulsar es un backdoor que podrían usar los agentes maliciosos junto con el kit de explotación Fuzzbunch para obtener acceso remoto al servidor comprometido. Una vez establecido el backdoor, los atacantes podrían usar los complementos de DanderSpritz para monitorear y extraer los datos de las máquinas comprometidas, informan expertos en forense digital del Instituto Internacional de Seguridad Cibernética.
Cada herramienta de hacking admite un conjunto de complementos diseñados para diferentes tareas, los complementos de FuzzBunch se utilizan para el reconocimiento y el hackeo del sistema atacado, los complementos de DanderSpritz se utilizan para la operación con los recursos de las víctimas infectadas.
El descubrimiento de la más reciente oleada de ataques con estas herramientas es muy importante para la industria de la ciberseguridad, pues demuestra que los actores maliciosos podrían encadenar las herramientas de hacking desarrolladas por estados-nación y explotarlas para crear un poderoso paquete de ataque. Esta campaña muestra cómo los hackers combinaron estas herramientas para llevar a cabo operaciones de hacking altamente sofisticadas.
“El descubrimiento del backdoor DarkPulsar ayudó a comprender su papel como un puente entre los dos marcos de trabajo filtrados, y cómo se integran en la misma plataforma de ataque diseñada para un compromiso a largo plazo, basada en las capacidades avanzadas de DarkPulsar para la persistencia y el sigilo”, mencionaron los expertos. “La implementación de estas características, como encapsular el tráfico de protocolos legítimos y evitar el ingreso de credenciales para pasar la autenticación, es altamente profesional”.
Los expertos también proporcionaron detalles técnicos e indicadores de compromiso para los ataques aprovechando las herramientas de la NSA. Es importante destacar que los parches de seguridad están disponibles para las vulnerabilidades a las que apuntan los exploits filtrados de la NSA.
“FuzzBunch y DanderSpritz están diseñados para ser flexibles y para ampliar su funcionalidad y compatibilidad con otras herramientas”, concluyen los expertos.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad