Después de la filtración pública de archivos que pertenecían a Hacking Team – la empresa conocida por vender «spyware legal» a algunos gobiernos y a las fuerzas del orden – varios grupos de ciberespionaje han empezado a utilizar, para sus propios fines maliciosos, las herramientas que Hacking Team proporcionaba a sus clientes para realizar ataques. Esto incluye muchos exploits para Flash Player de Adobe y para el Sistema Operativo Windows. Al menos uno de ellos se ha vuelto a utilizar por el poderoso actor de ciberespionaje “Darkhotel”.
Kaspersky Lab descubrió a través de sus expertos que «Darkhotel», un grupo élite de espionaje y famoso por infiltrar redes Wi-Fi en hoteles de lujo para comprometer a ejecutivos corporativos específicos, ha estado utilizando una vulnerabilidad “día cero” de la colección de Hacking Team desde principios de julio, justo después de la filtración famosa de los archivos de Hacking Team el pasado 5 de julio. Se desconocía que fuera un cliente de Hacking Team, de manera que el grupo Darkhotel parece haber acaparado los archivos una vez que éstos fueron puestos a disposición del público.
Este no se trata del único “día cero” del grupo. Kaspersky Lab estima que en los últimos años han tenido media docena o incluso, más vulnerabilidades “día cero” para Flash Player de Adobe, y aparentemente invirtiendo cantidades significativas para complementar su arsenal. En el año 2015, el grupo Darkhotel extendió su alcance geográfico alrededor del mundo y continuó con sus ataques selectivos mediante «spearphishing» en Corea del Norte y Sur, Rusia, Japón, Bangladesh, Tailandia, India, Mozambique y Alemania.
Apoyo colateral de Hacking Team
Los investigadores de seguridad de Kaspersky Lab registraron nuevas técnicas y actividades de Darkhotel, un actor de amenaza persistente avanzada que ha estado activo durante casi ocho años. En ataques realizados en 2014 y antes, el grupo abusó de certificados de firma de código y empleó métodos inusuales como comprometer sistemas de Wi-Fi en hoteles para filtrar herramientas de espionaje en los sistemas del objetivo. En 2015, muchas de estas técnicas y actividades se siguen utilizando, pero Kaspersky Lab también descubrió nuevas variantes de archivos ejecutables maliciosos, el uso continuo de certificados robados, técnicas implacables de ingeniería social y la implementación de la vulnerabilidad día cero de Hacking Team:
- Uso continuo de certificados robados. El grupo Darkhotel parece conservar una reserva de certificados robados e implementa sus descargadores y puertas traseras firmadas con ellos para burlar al sistema seleccionado. Algunos de los más recientes certificados revocados incluyen Xuchang Hongguang Technology Co. Ltd. – la compañías cuyos certificados se utilizaron en ataques previos llevados a cabo por el actor de la amenaza.
- Spearphishing implacable. La amenaza persistente avanzada de Darkhotel es en verdad persistente: trata de obtener información confidencial de un objetivo, y en caso de no tener éxito, regresa varios meses más tarde para intentarlo nuevamente con esquemas de ingeniería social muy similares.
- Implementación del exploit día cero de Hacking Team. El sitio web comprometido, tisone360.com, contiene un grupo de puertas traseras y exploits. El más interesante de éstos es la vulnerabilidad día cero para Flash de Hacking Team.