Los hackers siempre están buscando formas ingeniosas de burlar las medidas de seguridad, y lo último que han hecho ha dejado a muchos con la boca abierta. Un grupo de hackers chinos fue descubierto atacando grandes proveedores de servicios de TI en el sur de Europa, usando los túneles de Visual Studio Code (VS Code) para mantener un acceso remoto constante a los sistemas que lograron comprometer.
Por si no lo sabías, los túneles de VS Code son una función de Microsoft que permite a los desarrolladores conectarse de forma segura a sistemas remotos y trabajar en ellos como si estuvieran en su propia computadora. Con esta herramienta, los desarrolladores pueden ejecutar comandos, acceder a archivos y realizar todo tipo de tareas de desarrollo. Es, básicamente, una herramienta muy útil… pero en las manos equivocadas, también puede ser peligrosa.
Lo que hace que esta técnica sea tan efectiva para los atacantes es que los túneles usan la infraestructura de Microsoft Azure y están respaldados por ejecutables firmados por Microsoft. Esto los hace parecer completamente legítimos, dificultando que los sistemas de seguridad detecten algo sospechoso.
Esta táctica inusual fue detectada por los equipos de SentinelLabs y Tinexta Cyber, que bautizaron la campaña como "Operación Ojo Digital", llevada a cabo entre junio y julio de 2024. Afortunadamente, los investigadores lograron identificar y bloquear las actividades en sus primeras etapas. Sin embargo, hoy publicaron un informe detallado para alertar a otros sobre esta nueva táctica utilizada por actores APT (Amenazas Persistentes Avanzadas).
Aunque la evidencia sugiere que grupos como STORM-0866 o Sandman APT podrían estar involucrados, todavía no hay claridad sobre quién es exactamente el responsable de esta operación que duró tres semanas.
“El grupo detrás de la Operación Ojo Digital aún no se ha identificado claramente debido al gran intercambio de malware, manuales operativos y procesos dentro del ecosistema de amenazas en China”, explicó SentinelLabs.
Puerta trasera de Visual Studio Code: ¿Cómo los hackers hicieron su jugada?
El grupo de hackers logró meterse en sistemas vulnerables aprovechando una herramienta de inyección SQL automatizada llamada 'sqlmap'. Esta herramienta les permitió explotar servidores web y bases de datos conectados a Internet para conseguir acceso inicial.
Una vez dentro, instalaron un webshell basado en PHP llamado PHPsert. Este pequeño pero poderoso archivo les dio el control remoto para ejecutar comandos en los sistemas infectados y cargar más herramientas maliciosas según lo necesitaran.
Pero ahí no se detuvieron. Para moverse dentro de las redes comprometidas, usaron acceso remoto a escritorios (RDP) y una técnica conocida como pass-the-hash, que les permitió autenticarse sin necesidad de contraseñas reales. Además, emplearon una versión modificada de Mimikatz, una herramienta popular para robar credenciales, que llamaron ‘bK2o.exe’.
Es una combinación de técnicas bastante astuta, aprovechando tanto herramientas públicas como personalizadas para mantener el control y expandir su alcance dentro de las redes objetivo.
En los dispositivos que lograron comprometer, los hackers instalaron una versión portátil y totalmente legítima de Visual Studio Code (el famoso code.exe). Para asegurarse de que este siguiera funcionando sin interrupciones, usaron una herramienta llamada winsw, que les permitió configurarlo como un servicio persistente en Windows.
Después de eso, ajustaron la configuración de VS Code con el parámetro de túnel habilitado. Esto les permitió establecer un túnel de acceso remoto directo a la máquina comprometida, dándoles un control total y discreto sobre el sistema. Una jugada ingeniosa, considerando que todo parece completamente legítimo a simple vista.
Configuración del servicio para la configuración de la tunelización de Visual Studio Code
Podría interesarte leer: Guía para Detectar Ataques de PowerShell en Windows con Wazuh
El rol de los túneles de VS Code en accesos remotos no autorizados
Esta táctica permitió a los hackers conectarse de forma remota a las máquinas comprometidas usando simplemente un navegador, autenticándose con cuentas de GitHub o Microsoft. Todo el tráfico generado por los túneles de VS Code pasa a través de Microsoft Azure, y los ejecutables están firmados digitalmente, lo que significa que, a simple vista, todo parece legítimo y no dispara ninguna alarma en las herramientas de seguridad.
Curiosamente, los atacantes usaban esta puerta trasera para acceder a los sistemas durante horarios laborales normales en China, lo que sugiere que trabajaban de manera bastante organizada y metódica.
Aunque el uso de túneles de VS Code como puerta trasera no es completamente nuevo (se han reportado algunos casos desde 2023), sigue siendo una técnica poco común. Sin embargo, parece estar ganando popularidad. Por ejemplo, en septiembre de 2024, se descubrió que otro grupo, llamado Stately Taurus, usó VS Code para espiar organizaciones gubernamentales en el sudeste asiático. Sin embargo, no hay evidencia de que ambas operaciones estén conectadas.
Dado que esta táctica podría estar volviéndose más habitual, es importante tomar medidas para protegerse. Aquí tienes algunas recomendaciones:
- Monitorea cualquier lanzamiento sospechoso de VS Code, especialmente si no es común que tu equipo lo utilice.
- Limita el uso de túneles remotos únicamente al personal autorizado.
- Usa listas blancas para bloquear la ejecución de versiones portátiles de VS Code (como code.exe).
- Inspecciona los servicios de Windows para buscar cualquier instancia sospechosa de code.exe.
- Revisa los registros de red en busca de conexiones salientes inesperadas hacia dominios como *.devtunnels.ms.
Estar atentos a este tipo de actividades puede marcar la diferencia para prevenir accesos no autorizados y proteger tus sistemas frente a estas tácticas tan ingeniosas como peligrosas.
