ESET descubre una campaña de ciberespionaje que consiguió robar documentos confidenciales
El laboratorio de ESET ha descubierto una amenaza del tipo backdoor aún sin documentar que se utilizaba para robar documentación y espiar en la red del Ministerio de Asuntos Exteriores de un país de la Unión Europea. ESET, la mayor empresa de ciberseguridad de la Unión Europea, atribuye este programa, denominado Crutch y en uso entre 2015 y, al menos, principios de 2020, al grupo de desarrollo de amenazas avanzadas persistentes Turla. Debido al tipo de organismo afectado, se piensa que esta familia se ha utilizado solamente para objetivos muy concretos. La finalidad de este ataque consistía en extraer documentos confidenciales y otros archivos a cuentas de Dropbox controladas por operadores de Turla.
“La actividad principal de este grupo consiste en sustraer documentos y otros archivos sensibles. Debido a la sofisticación del ataque y a los detalles técnicos del descubrimiento, se demuestra que Turla tiene recursos considerables como para operar con este tipo de arsenal tan grande y variado”, asegura Matthieu Faou, investigador de ESET especializado en el grupo Turla. “Además, Crutch es capaz de sobrepasar varias capas de seguridad abusando de las infraestructuras legítimas –Dropbox, en este caso- con el objetivo de mezclarse con el tráfico de red normal mientras se extraen los documentos robados y se reciben comandos de sus operadores”.
ESET se ha fijado en las horas de actividad de los ciberdelincuentes para conocer su modus operandi. Para ello, ha conseguido recopilar 506 marcas temporales con fecha entre octubre de 2018 y julio de 2019 en las que se observa que los operadores de Turla están trabajando mientras los sistemas de sus víctimas no están activos. El análisis hace pensar que el grupo de delincuentes trabaja en una zona con huso horario UTC+3.
Los investigadores de ESET han encontrado fuertes vínculos también entre Crutch y Gazer que se remontan a 2016. Gazer, también conocido como WhiteBear, es una backdoor de segunda etapa utilizada por Turla entre 2016 y 2017. Turla lleva activo desde hace más de diez años y ha comprometido los sistemas de diferentes gobiernos de todo el mundo, especialmente de misiones diplomáticas, operando un arsenal muy grande de malware que ESET ha ido documentando a lo largo del tiempo.
Para más información sobre Turla y la operación contra el Ministerio de Asuntos Exteriores del país europeo afectado, se puede visitar el blog de ESET.