En 2017, un grupo de hackers identificado como Shadow Brokers filtró un conjunto de las más sofisticadas herramientas de hacking desarrolladas por la Agencia de Seguridad Nacional (NSA) de E.U. Especialistas en ciberseguridad señalan que estas herramientas fueron utilizadas posteriormente en las campañas de ataque de NotPetya y WannaCry, dos variantes de malware altamente agresivas que paralizaron las operaciones en cientos de compañías en todo el mundo.
Recientemente, expertos en ciberseguridad reportaron que dos de las herramientas de hacking filtradas por Shadow Brokers ya habían sido utilizadas en algunos ciberataques ocurridos en marzo de 2016, un año antes de que el grupo de hackers mencionado las filtrara.
Acorde a los reportes, Buckeye, otro grupo de hackers activo al menos desde 2010, consiguió acceso una variante del backdoor “DoublePulsar”, desarrollado por la NSA; el grupo además obtuvo un exploit para instalar el backdoor de forma remota. Como era de esperarse, este incidente ha generado una nueva oleada de críticas contra la NSA.
Especialistas en ciberseguridad consideran que esta clase de incidentes deben obligar a la NSA a replantear su política de manejo de software, pues es una práctica común entre los funcionarios y desarrolladores de la NSA almacenar de forma privada múltiples exploit y otras herramientas confidenciales.
Aún se ignora cómo es que este grupo de hackers consiguió acceso a estas herramientas, aunque los expertos creen que es posible que Buckeye recurriera al uso de ingeniería inversa en alguno de los ataques que la NSA practicó en su propia infraestructura.
Las características de seguridad en las versiones más recientes de Windows obligan a los actores de amenazas a explotar dos vulnerabilidades diferentes para poder instalar el backdoor DoublePulsar. Con las herramientas de la NSA, tanto la agencia como los hackers comenzaron a explotar la vulnerabilidad CVE-2017-0143 para corromper la memoria de Windows para después explotar otro error para divulgar el diseño de la memoria del sistema atacado.
Acorde a los expertos del Instituto Internacional de Seguridad Cibernética (IICS), el primer incidente de Buckeye empleando las herramientas de la NSA se registró el 31 de marzo de 2016 contra un objetivo en Hong Kong. Después de instalar el backdoor, se instaló una carga secundaria para garantizar la persistencia en el sistema sin importar que ocurriera un reinicio y DoublePulsar dejara de ejecutarse.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
