martes, 7 de mayo de 2019

Los hackers chinos son los primeros en utilizar las armas cibernéticas de la NSA


El informe de Symantec profundiza el misterio en torno a las herramientas y las vulnerabilidades de la NSA

Un grupo de hacking chino estaba utilizando exploits y herramientas de ataque desarrolladas por la Agencia de Seguridad Nacional de EE. UU. Unos meses antes de que otro grupo lanzara las herramientas, dice Symantec en un nuevo informe.

El sorprendente informe profundiza el misterio en torno a una situación extraordinaria en la que algunas de las armas cibernéticas más efectivas de los EE. UU. Cayeron en las manos equivocadas. Las repercusiones, incluido el devastador ataque de ransomware WannaCry en mayo de 2017, continúan hoy en día.

También genera preguntas sobre el Proceso de Vulnerabilidades de Acciones, un programa del gobierno de los Estados Unidos que revela las vulnerabilidades del software a los proveedores para que puedan ser parcheadas.

Las vulnerabilidades no parcheadas ayudan a los ciberespías de EE. UU. A infiltrarse en otros sistemas. Pero no notificar a los proveedores de esos problemas significa que es posible que otros países o cibercriminales los descubran y exploten.

Symantec anuncia que un grupo chino de APT estaba usando EternalRomance y EternalSynergy antes de ser lanzado por los Shadow Brokers. Esto elimina por completo el argumento de NOBUS y plantea algunas preguntas serias sobre el Proceso de Vulnerabilidad en Acciones (VEP). https://t.co/seXMs8bHuw
- Jake Williams (@MalwareJake) 7 de mayo de 2019

La situación descrita por Symantec plantea preguntas sobre fallas en el software que son fuertemente controladas por los EE. UU. O las denominadas fallas NOBUS, que significa "nadie más que EE. UU.", Escribe Jake Williams, un ex operador de la Unidad de Operaciones de Acceso a Medida de la Agencia de Seguridad Nacional. fundador de Rendition Infosec, una consultora de seguridad en Atlanta.

"Esto mata completamente el argumento de NOBUS y plantea algunas preguntas serias sobre el Proceso de Vulnerabilidad de Acciones (VEP)", escribe Williams en Twitter.

Buckeye, alias APT3 y Gothic Panda

Symantec llama al grupo de hackeo chino Buckeye; También es conocido como APT3 y Gothic Panda. Algunas empresas de ciberseguridad, como Crowdstrike y Recorded Future, creen que APT3 trabaja con la agencia de inteligencia de China, conocida como el Ministerio de Seguridad del Estado.

Symantec ha estado rastreando ataques vinculados a Buckeye en Bélgica, Luxemburgo, Hong Kong, Vietnam y Filipinas, incluso contra compañías de telecomunicaciones y ciencia y tecnología.

Como es habitual, Symantec no menciona a China en su informe. Las hazañas y herramientas filtradas provienen del Equation Group, dice Symantec. Se cree firmemente que Equation Group, descubierto por Kaspersky, es la unidad de operaciones cibernéticas ofensivas de la NSA, que solía ser conocida como Operaciones de acceso a medida.

No está claro cómo Buckeye obtuvo las herramientas, pero Symantec tiene dos teorías. Buckeye "puede haber diseñado su propia versión de las herramientas a partir de artefactos que se encuentran en el tráfico capturado de la red, posiblemente al observar un ataque de Equation Group", dice Symantec.

Otro escenario menos probable es que Buckeye obtuvo acceso a un servidor con poca seguridad utilizado por Equation Group, o que alguien con Equation Group filtró las herramientas.

Pero el uso de Buckeye de las herramientas y los exploits es anterior a su lanzamiento por los Shadow Brokers. En agosto de 2016, los Shadow Brokers publicaron muestras de exploits e implantes de software que afirmaban provenían de Equation Group.

Los expertos en seguridad concluyeron que las herramientas eran legítimas y que probablemente provenían de un grupo altamente sofisticado. Se teorizó que tal vez un empleado o contratista de la NSA descontento fue Shadow Brokers, o tal vez el volcado de herramientas fue una broma audaz y provocativa por parte de Rusia. Hasta ahora, nadie ha sido acusado.

Buckeye comenzó a usar una variante de la puerta trasera DoublePulsar en marzo de 2016, dice Symantec. La puerta trasera se entregó a las víctimas utilizando una herramienta de explotación llamada Bemstour. Bemstour utilizó dos vulnerabilidades de día cero para Windows, CVE-2019-0703 y CVE-2017-0143.


Este gráfico muestra las herramientas de ataque desplegadas por región, Buckeye. (Fuente: Symantec)

Bemstour sigue desarrollándose. De hecho, Symantec dice que analizó una muestra que se compiló el 23 de marzo.

"El propósito de todos los ataques fue adquirir una presencia persistente en la red de la víctima, lo que significa que el robo de información fue el motivo más probable de los ataques", escribe Symantec.

Buckeye también usó dos herramientas de explotación conocidas como EternalRomance y EternalSynergy, las cuales también fueron lanzadas por los Shadow Brokers.

Herramientas aún en uso

Symantec dice que Buckeye pareció detener sus ataques a mediados de 2017. Unos meses más tarde, en noviembre de 2017, tres hombres chinos que se creía que formaban parte del grupo fueron acusados ​​de irrumpir en compañías estadounidenses, como Siemens, Moody's Analytics y Trimble.

Estados Unidos no tiene un acuerdo de extradición con China, por lo que los hombres no han sido arrestados. Los hombres trabajaron para Bo Yu Information Technology Company Ltd., o Boyusec para abreviar, que tenía su sede en Guangzhou. Se creía que Boyusec estaba relacionado con APT3 y Gothic Panda (ver: empresas de piratería de seguridad cibernética chinas, cargos estadounidenses).

A pesar de que la actividad de Buckeye cesó, todavía existen riesgos. Otro grupo comenzó a usar las herramientas hasta fines del año pasado, dice Symantec.

A menudo hay un debate vigoroso sobre cuándo los EE. UU. Deben revelar fallas de software que le dan a los EE. UU. Una ventaja de inteligencia. Un proceso de notificación más rápido podría haber permitido a Microsoft parchear la vulnerabilidad del Bloque de mensajes del servidor (CVE-2017-0144) antes, lo que podría haber dado a las organizaciones más tiempo para protegerse de WannaCry. Microsoft parchó la vulnerabilidad de SMB semanas antes de que WannaCry se lanzara en mayo de 2017.

Pero, en primer lugar, existe el riesgo de desarrollar explotaciones para vulnerabilidades, sostiene Robert M. Lee, fundador y CEO de Dragos, que se especializa en asegurar sistemas de control industrial. Si se implementan esos exploits, es posible que los adversarios hagan ingeniería inversa o los descubran.

Tarde en la noche: si vamos a gritarle a la NSA por hacer un exploit que un adversario vio en una intrusión y aprendió como un ejemplo de "perder el control de las armas", entonces deberíamos argumentar que nadie debería hacer exploits. siempre porque todos se pueden perder de esa manera
- Robert M. Lee (@RobertMLee) 7 de mayo de 2019


No olvides Compartir...

Siguenos en twitter: @disoftin

No hay comentarios:

Publicar un comentario