Grupo de ciberespionaje "Darkhotel" impulsa ataques con "exploit" filtrado de Hacking Team

Después de la filtración pública de archivos que pertenecían a Hacking Team - la empresa conocida por vender "spyware legal" a algunos gobiernos y a las fuerzas del orden - varios grupos de ciberespionaje han empezado a utilizar, para sus propios fines maliciosos, las herramientas que Hacking Team proporcionaba a sus clientes para realizar ataques. Esto incluye muchos exploits para Flash Player de Adobe y para el Sistema Operativo Windows. Al menos uno de ellos se ha vuelto a utilizar por el poderoso actor de ciberespionaje “Darkhotel”.

Kaspersky Lab descubrió a través de sus expertos que "Darkhotel", un grupo élite de espionaje y famoso por infiltrar redes Wi-Fi en hoteles de lujo para comprometer a ejecutivos corporativos específicos, ha estado utilizando una vulnerabilidad día cero de la colección de Hacking Team desde principios de julio, justo después de la filtración famosa de los archivos de Hacking Team el pasado 5 de julio.  Se desconocía que fuera un cliente de Hacking Team, de manera que el grupo Darkhotel parece haber acaparado los archivos una vez que éstos fueron puestos a disposición del público.

Este no se trata del único día cero del grupo. Kaspersky Lab estima que en los últimos años han tenido media docena o incluso, más días cero para Flash Player de Adobe, y aparentemente invirtiendo cantidades significativas para complementar su arsenal. En el año 2015, el grupo Darkhotel extendió su alcance geográfico alrededor del mundo y continuó con sus ataques selectivos mediante "spearphishing" en Corea del Norte y Sur, Rusia, Japón, Bangladesh, Tailandia, India, Mozambique y Alemania.

Apoyo colateral de Hacking Team

Los investigadores de seguridad de Kaspersky Lab registraron nuevas técnicas y actividades de Darkhotel, un actor de amenaza persistente avanzada que ha estado activo durante casi ocho años. En ataques realizados en 2014 y antes, el grupo abusó de certificados de firma de código y empleó métodos inusuales como comprometer sistemas de Wi-Fi en hoteles para filtrar herramientas de espionaje en los sistemas del objetivo. En 2015, muchas de estas técnicas y actividades se siguen utilizando, pero Kaspersky Lab también descubrió nuevas variantes de archivos ejecutables maliciosos, el uso continuo de certificados robados, técnicas implacables de ingeniería social y la implementación de la vulnerabilidad día cero de Hacking Team.

  • Uso continuo de certificados robados. El grupo Darkhotel parece conservar una reserva de certificados robados e implementa sus descargadores y puertas traseras firmadas con ellos para burlar al sistema seleccionado. Algunos de los más recientes certificados revocados incluyen Xuchang Hongguang Technology Co. Ltd. - la compañía cuyos certificados se utilizaron en ataques previos llevados a cabo por el actor de la amenaza-.
  • Spearphishing implacable. La amenaza persistente avanzada de Darkhotel es en verdad persistente; trata de obtener información confidencial de un objetivo, y en caso de no tener éxito, regresa varios meses más tarde para intentarlo nuevamente con esquemas de ingeniería social muy similares.
  • Implementación del exploit día cero de Hacking Team. El sitio web comprometido, tisone360.com, contiene un grupo de puertas traseras y exploits. El más interesante de éstos es la vulnerabilidad día cero para Flash de Hacking Team.

“Darkhotel regresó con otro exploit para Flash Player hospedado en un sitio web comprometido, y en esta ocasión parece haber sido impulsado por la filtración de las herramientas de Hacking Team. El grupo ya había distribuido un exploit para Flash diferente en el mismo sitio, el cual nosotros lo reportamos como un día cero para Adobe en enero de 2014. Darkhotel parece haber quemado un montón de días cero para Flash y exploits de medio día en los últimos años, y puede haber acumulado más para llevar a cabo ataques precisos en individuos de alto nivel en todo el mundo. Sabemos de ataques previos en los que Darkhotel espía a Directores Ejecutivos, Vicepresidentes, Directores de ventas y mercadotecnia, así como a empleados de alto nivel de investigación y desarrollo", - dijo Kurt Baumgartner, Investigador Principal de Seguridad en Kaspersky Lab.

Desde el año pasado, el grupo ha trabajado duro para mejorar sus técnicas de defensa, por ejemplo, expandiendo su lista de tecnología anti detección. La versión 2015 del descargador Darkhotel está diseñada para identificar tecnologías antivirus de 27 proveedores, con la intensión de eludirlas.