Hackers rusos han pirateado entidades diplomáticas en la UE, según Kaspersky

Conocidos en la ciberescena, Turla APT es un grupo de hackers rusos cuyo ‘trabajo’ en la última década ha sido asociado a no pocos ciberataques a organizaciones gubernamentales, diplomáticas, tecnológicas y hasta de investigación. Y se les ha rastreado a esas actividades porque al grupo le gusta usar una mezcla de técnicas y malwares muy conocidos - fácilmente identificables- junto a un repertorio de nuevas ciberarmas creadas por ellos.

Turla APT

Turla, conocidos también por otros nombres como Snake, Waterbug o Venomous Bear, centra muchos de sus ataques en entidades de naciones pertenecientes o dentro de la OTAN y la Commonwealth de Estados Independientes (una organización de repúblicas post-soviéticas en Eurasia formada tras la disolución de la Unión Soviética en 1991).

De hecho, los investigadores de la compañía experta en ciberseguridad Kaspersky creen que Turla APT está financiada por nada menos que el Estado Ruso, y ha sido usada en todo tipo de operaciones de ciberespionaje, como los recientes ataques a diferentes entidades diplomáticas a través de todo el territorio europeo.

El spyware COMPfun

Según un comunicado de Kaspersky, Turla ha usado herramientas de ‘Spyware’, un tipo de virus que se encarga de recopilar de forma fraudulenta información sobre la navegación del usuario, además de datos personales y bancarios. Un ejemplo de este tipo de virus son los Keyloggers, los cuales monitorizan toda nuestra actividad con el teclado (teclas que se pulsan), para luego enviarla al hacker.

Y el arma elegida es nada menos que el malware COMPfun, un viejo conocido que atrajo la atención de los investigadores por primera vez en 2014, y tuvo en 2019 un sucesor llamado Reductor, una nueva versión de COMPfun que Kaspersky descubrió el año pasado. Al parecer, COMPfun ha mutado en una nueva ‘cepa’ para este 2020, una nueva versión actualizada del malware que Turla ha utilizado para atacar a instituciones diplomáticas que gestionan permisos de visado, escondiendo el spyware en solicitudes de visado falsas.

COMPfun es “un típico troyano de acceso remoto que puede infectar a la víctima”, luego recopilar datos del sistema, registrar pulsaciones de teclas y hacer una captura de pantalla del escritorio del usuario, y finalmente enviar todos los datos recopilados al mismo servidor remoto que lo dirige y controla.

Hackeo diplomático por Spyware

La nueva versión de COMPfun también incluye 2 nuevas características:

- La primera es que puede monitorear cuándo un dispositivo extraíble USB se conecta a un host infectado, y luego difundir su información al nuevo dispositivo.

- La segunda es una nueva infraestructura C&C de Mando y Control diferente al que tenía.

De acuerdo con Kaspersky, este nuevo protocolo de malware C & C no utiliza el modo de funcionamiento clásico, debido a que los investigadores de seguridad y los productos de seguridad suelen analizar el tráfico HTTP / HTTPS en busca de patrones de comandos de malware similares.

Cuando el personal de seguridad ve parámetros similares a los de la CLI (Interfaz de Línea de Comandos / Órdenes, un método que permite a los usuarios dar instrucciones a algún programa informático por medio de una línea de texto simple) en los encabezados o el tráfico HTTP, indica que se está produciendo un comportamiento malicioso. Para evitar este tipo de detección, el equipo de Turla ha desarrollado un nuevo servidor basado en los códigos de estado de HTTP, que es el protocolo de cliente C & C.

Por supuesto no han trascendido qué países han sido los afectados, pero los investigadores de Kaspersky siguen estudiando a Turla y su nuevo ‘juguete’ en un momento actual en que las crisis del Covid-19 ha vcuelto a todos los países del mundo -no sólo la zona euro- muy vulnerables debido a la situación sanitaria, política y económica que vivimos.