En el dinámico y a menudo sombrío mundo de la ciberseguridad, los grupos de ciberespionaje continúan evolucionando y adaptando sus tácticas para llevar a cabo sus operaciones con mayor eficacia. Recientemente, un informe publicado en noviembre de 2023 reveló cómo un grupo de ciberespionaje ruso, conocido como Evasive Falcon, ha desplegado nuevas técnicas para eludir la detección y realizar sus actividades maliciosas. En este artículo exploraremos las tácticas de este grupo, proporcionando un análisis claro y detallado de sus métodos y objetivos, y subrayando la importancia de la ciberseguridad en el panorama digital actual.
Antes de adentrarnos en las acciones específicas de Evasive Falcon, es esencial entender el concepto de ciberespionaje. En términos simples, el ciberespionaje implica el uso de técnicas informáticas y de Internet para espiar a individuos, organizaciones o gobiernos, generalmente para obtener información secreta o sensible. Los actores en este campo pueden ser estados-nación, organizaciones criminales, o incluso individuos con agendas específicas.
Te podrá interesar leer: Nuevo Malware SprySOCKS Linux vinculado a Ciberespionaje
Evasive Falcon, un grupo cibernético asociado con intereses rusos, ha estado operativo durante varios años, pero su reciente evolución táctica ha capturado la atención de los expertos en ciberseguridad. Este grupo se especializa en técnicas de espionaje digital que les permiten infiltrarse en sistemas sin ser detectados, haciendo uso de métodos sofisticados para evitar las medidas de seguridad convencionales.
Actores de ciberespionaje rusos afiliados al Servicio Federal de Seguridad (FSB) han sido observados utilizando un gusano de propagación USB denominado LitterDrifter en ataques específicos contra entidades ucranianas. Este grupo, también conocido por varios nombres como Gamaredon, ha sido identificado por su participación en campañas de gran escala seguidas de esfuerzos de recopilación de datos dirigidos a objetivos seleccionados por su valor de espionaje.
Podría interesarte leer: ¿Que son los Ataques de Gusano Informático?
El gusano LitterDrifter tiene dos características principales: la capacidad de propagar automáticamente el malware a través de unidades USB conectadas y la habilidad de comunicarse con servidores de comando y control (C&C) del actor de la amenaza. Se sospecha que LitterDrifter es una evolución de un gusano USB basado en PowerShell que fue revelado anteriormente en junio de 2023.
Escrito en VBS, el módulo propagador distribuye el gusano como un archivo oculto en unidades USB junto con un señuelo LNK con nombres aleatorios. El malware recibe su nombre debido a que el componente inicial de orquestación se llama "trash.dll". Una particularidad de Gamaredon en su enfoque hacia los C&C es su uso de dominios como marcador para las direcciones IP rotativas que sirven como servidores C2.
LitterDrifter también puede conectarse a un servidor C&C obtenido de un canal de Telegram, una táctica que el actor de la amenaza ha empleado repetidamente desde principios de año. Además, se han detectado indicios de posibles infecciones fuera de Ucrania en envíos a VirusTotal desde EE. UU., Vietnam, Chile, Polonia, Alemania y Hong Kong.
Gamaredon ha mantenido una presencia activa este año, evolucionando continuamente sus métodos de ataque. En julio de 2023, se destacaron sus capacidades rápidas de exfiltración de datos, transmitiendo información confidencial apenas una hora después del compromiso inicial.
"Es evidente que LitterDrifter fue diseñado para respaldar una operación de recolección a gran escala", indicaron los analistas. "Utiliza técnicas simples pero efectivas para alcanzar el conjunto más amplio posible de objetivos en la región".
Este desarrollo ocurre mientras el Centro Nacional de Coordinación de Ciberseguridad de Ucrania (NCSCC) ha revelado ataques orquestados por hackers patrocinados por el estado ruso contra embajadas en Europa, incluyendo Italia, Grecia, Rumania y Azerbaiyán. Estas intrusiones, atribuidas a APT29 (también conocido como BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard y The Dukes), implican la explotación de la vulnerabilidad WinRAR recientemente revelada (CVE-2023-38831) a través de señuelos que ofrecen BMW a la venta, un tema recurrente en sus tácticas.
Te podría interesar leer: Francia: Hackers Rusos Atacan Redes Vitales
La cadena de ataque comienza con correos electrónicos de phishing que contienen un enlace a un archivo ZIP diseñado para explotar la falla y recuperar un script de PowerShell desde un servidor remoto. "La tendencia preocupante de explotar la vulnerabilidad CVE-2023-38831 por parte de grupos de piratería de inteligencia rusos destaca su creciente popularidad y sofisticación", comentó el NCSCC.
Recientemente, el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) descubrió una campaña de phishing que difunde archivos RAR maliciosos conteniendo un documento PDF falso del Servicio de Seguridad de Ucrania (SBU), que en realidad es un ejecutable que despliega Remcos RAT. CERT-UA está monitoreando esta actividad bajo el nombre UAC-0050, vinculándola con ataques cibernéticos dirigidos a autoridades estatales ucranianas para entregar Remcos RAT en febrero de 2023.
El informe de 2023 detalla varias tácticas nuevas empleadas por Evasive Falcon:
Uso de Infraestructura Legítima: Han comenzado a utilizar servicios y plataformas legítimas para alojar y distribuir sus herramientas maliciosas. Esto dificulta su detección, ya que mezclan su tráfico con el de usuarios legítimos.
Técnicas de Evasión Avanzadas: Implementan métodos avanzados para evitar ser detectados por el software antivirus y las herramientas de seguridad de red.
Phishing Sofisticado: Utilizan técnicas de phishing altamente personalizadas para engañar a los usuarios y hacer que revelen sus credenciales o instalen software malicioso.
Explotación de Vulnerabilidades: Se enfocan en explotar vulnerabilidades recién descubiertas, antes de que las organizaciones puedan aplicar los parches necesarios.
El principal objetivo de Evasive Falcon parece ser la recopilación de inteligencia. Esto incluye obtener acceso a información gubernamental clasificada, datos corporativos sensibles, y detalles personales de individuos de alto perfil. El impacto de sus acciones va más allá de la simple pérdida de datos; puede incluir el deterioro de la confianza en las instituciones, la manipulación de la información y posibles repercusiones geopolíticas.
Este caso resalta la importancia crítica de la ciberseguridad en el mundo moderno. Las organizaciones y los individuos deben estar constantemente vigilantes y actualizar sus prácticas de seguridad para defenderse contra estas amenazas en constante evolución. Esto incluye la educación regular sobre seguridad, la implementación de sistemas de detección y respuesta a incidentes, y la rápida aplicación de parches de seguridad.
Te podrá interesar leer: Costo de Inacción en Ciberseguridad
El grupo Evasive Falcon es solo un ejemplo de cómo los actores de ciberespionaje están mejorando sus métodos para realizar operaciones sofisticadas y difíciles de detectar. Este caso sirve como un llamado de atención para las organizaciones y los individuos por igual, subrayando la necesidad de permanecer alerta y proactivo en la lucha contra las amenazas cibernéticas. A medida que avanzamos en la era digital, la ciberseguridad no es solo una necesidad, sino un imperativo para la seguridad y la estabilidad en el ciberespacio global.