Recientemente, un desarrollo alarmante ha sacudido la comunidad de la ciberseguridad: Microsoft ha detectado una herramienta de hacking conocida como GooseEgg, presuntamente empleada por hackers rusos para atacar sistemas Windows. Este hallazgo pone de manifiesto no solo la creciente sofisticación de las amenazas digitales sino también la necesidad crítica de mantener nuestros sistemas actualizados y protegidos. En este artículo exploraremos el funcionamiento de GooseEgg, los riesgos asociados y cómo podemos fortalecer nuestras defensas contra este tipo de ciberataques ingeniosos.
Investigadores de Microsoft han emitido una alerta sobre una herramienta maliciosa avanzada llamada GooseEgg. Esta herramienta es utilizada por un conjunto de ciberdelincuentes rusos conocidos como Forest Blizzard, y también referidos en ocasiones como Sofacy o Fancy Bear. Estos hackers, vinculados a la Unidad 26165 de la agencia de inteligencia militar rusa GRU, emplean GooseEgg para explotar vulnerabilidades en Windows, específicamente en el servicio Print Spooler, permitiéndoles ejecutar código de forma remota e instalar puertas traseras para robar credenciales.
El grupo tiene un historial de dirigir sus ataques principalmente a sectores gubernamentales, energéticos y de transporte en países como Ucrania y Estados Unidos, además de en otras naciones europeas. No obstante, también apuntan a medios de comunicación, instituciones educativas y organizaciones deportivas a nivel global.
Activo desde al menos el año 2010, el principal objetivo de este grupo ha sido recoger inteligencia para apoyar las políticas exteriores del gobierno ruso. Recientemente, Microsoft Threat Intelligence Center ha revelado detalles sobre el uso de GooseEgg por parte de este grupo para aprovechar fallos de seguridad en Windows, como el mencionado en el servicio Print Spooler, en su más reciente publicación sobre las actividades de esta entidad cibernética basada en Rusia.
Conoce más sobre: Los 5 Foros Rusos Más Influyentes de la Dark Web
Específicamente, el servicio Print Spooler es el encargado de gestionar la cola de impresión en Windows. En 2022, Microsoft publicó una actualización de seguridad destinada a solucionar una vulnerabilidad en este servicio, catalogada como CVE-2022-38028.
Según el análisis realizado por Microsoft, esta vulnerabilidad fue explotada por los hackers rusos de Forest Blizzard utilizando GooseEgg. Dicho exploit permitió la modificación de un archivo de restricciones de JavaScript, que luego fue ejecutado para adquirir permisos a nivel de sistema.
Este acceso permitió a los atacantes llevar a cabo acciones adicionales en objetivos gubernamentales, incluyendo la ejecución de código remoto, la instalación de backdoors y el movimiento lateral a través de redes comprometidas, con el objetivo final de sustraer credenciales e información crítica de las organizaciones afectadas.
Sin embargo, la vulnerabilidad en Print Spooler no ha sido la única explotada en estos ataques. GooseEgg también ha sido utilizado en relación con dos vulnerabilidades del servicio PrintNightmare (CVE-2021-34527 y CVE-2021-1675), que fueron resueltas por Microsoft en 2021. Los investigadores han señalado que GooseEgg ha estado en uso desde al menos junio de 2020 y "posiblemente" desde abril de 2019.
Para prevenir este tipo de ataques, se recomienda a usuarios y organizaciones que actualicen los servicios Print Spooler y PrintNightmare, si no lo han hecho aún, para aplicar las correcciones proporcionadas por Microsoft.
Además, se insta a los clientes a seguir las directrices de Microsoft sobre la protección de credenciales, disponibles en la descripción general del robo de credenciales local, para aprender a defenderse contra técnicas comunes de robo de credenciales. También se recomienda el uso de soluciones antivirus, como Microsoft Defender, para ofrecer una capa adicional de seguridad.
Te podrá interesar: ¿Cómo Priorizar los Parches de Software Eficazmente?
La aparición de GooseEgg como una herramienta potencialmente utilizada por ciberdelincuentes rusos para explotar sistemas Windows es un recordatorio claro de la naturaleza dinámica y a menudo geopolítica de la ciberseguridad. A medida que las herramientas y tácticas de los atacantes evolucionan, así también debe hacerlo nuestra vigilancia y nuestras prácticas de defensa. La colaboración entre empresas, usuarios y gobiernos será esencial para mitigar los riesgos asociados con este tipo de ciberataques avanzados.
La responsabilidad de proteger nuestros sistemas y nuestra información es compartida. Al estar informados y preparados, podemos reducir significativamente el impacto de amenazas como GooseEgg y mantener nuestros entornos digitales seguros y confiables para todos los usuarios.