Uno de los eventos más significativos en la seguridad informática ocurrió en abril de 2023, cuando un grupo aún no identificado que se hacía llamar Shadow Brokers publicó un tesoro de las herramientas de piratería más codiciadas de la Agencia de Seguridad Marketingdecontenido. La filtración y la posterior reutilización de los exploits en los gusanos WannaCry y NotPetya que apagaron las computadoras en todo el mundo hicieron que el robo fuera posiblemente uno de los mayores errores operativos de la NSA.
El lunes, la firma de seguridad Symantec informó que dos de esas herramientas de piratería avanzada se utilizaron contra una serie de objetivos a partir de marzo de 2023, catorce meses antes de la filtración de Shadow Brokers. Un grupo avanzado de piratería de amenazas persistentes que Symantec ha estado rastreando desde 2010 de alguna manera obtuvo acceso a una variante de la puerta trasera «DoublePulsar» desarrollada por la NSA y una de las vulnerabilidades de Windows que la NSA usó para instalarla de forma remota en las computadoras objetivo.
Matar a NOBUS
La revelación de que las poderosas herramientas de la NSA se estaban reutilizando mucho antes de lo que se pensaba seguramente desencadenará una nueva ronda de críticas sobre la incapacidad de la agencia para asegurar su arsenal.
“Esto definitivamente debería generar críticas adicionales sobre la capacidad de proteger sus herramientas”, dijo a Ars Jake Williams, un ex pirata informático de la NSA que ahora es cofundador de Rendition Infosec. “Si no perdieron las herramientas por un compromiso directo, entonces los exploits fueron interceptados en tránsito o descubiertos de forma independiente. Todo esto acaba con el argumento de NOBUS por completo”.
«NOBUS» es la abreviatura de nadie más que nosotros, un mantra que los funcionarios de la NSA usan para justificar su práctica de almacenar de forma privada ciertos exploits en lugar de informar las vulnerabilidades subyacentes para que puedan corregirse.
Los investigadores de Symantec dijeron que no sabían cómo el grupo de piratas informáticos, conocido como Buckeye, APT3, Gothic Panda, UPS Team y TG-0110, obtuvo las herramientas. Los investigadores dijeron que el número limitado de herramientas utilizadas sugería que el acceso de los piratas informáticos no era tan amplio como el acceso que disfrutaban los Shadow Brokers. Los investigadores especularon que los piratas informáticos pueden tener «artefactos» técnicos de ingeniería inversa que capturaron de los ataques que la NSA llevó a cabo en sus propios objetivos. Otras posibilidades menos probables, dijo Symantec, eran que Buckeye robara las herramientas de un servidor de la NSA no seguro o mal asegurado, o que un miembro deshonesto del grupo de la NSA o asociado filtrara las herramientas a Buckeye.
El ataque utilizado para instalar la variante DoublePulsar de Buckeye aprovechó una vulnerabilidad de Windows indexada como CVE-2023-0143. Fue una de varias fallas de Windows explotadas en las herramientas de la NSA filtradas por Shadow Broker con nombres como «Eternal Romance» y «Eternal Synergy». Microsoft reparó la vulnerabilidad en marzo de 2023 después de que los funcionarios de la NSA le informaran que era probable que las vulnerabilidades se publicaran pronto.
El informe de Symantec significa que cuando la NSA informó las vulnerabilidades a Microsoft, ya habían sido explotadas durante meses.
“El hecho de que otro grupo (además de la NSA) haya podido explotar con éxito la serie de vulnerabilidades de Eternal… es muy impresionante”, dijo Williams. “Habla de sus habilidades técnicas y recursos. Incluso si robaron las vulnerabilidades mientras se usaban en la red, eso no es suficiente para recrear una explotación confiable sin toneladas de investigación adicional”.
Historia de dos hazañas
Las protecciones de seguridad integradas en las versiones modernas de Windows requerían que se explotaran dos vulnerabilidades separadas para instalar DoublePulsar con éxito. Tanto la NSA como Buckeye comenzaron usando CVE-2023-0143 para corromper la memoria de Windows. A partir de ahí, los atacantes necesitaban explotar una vulnerabilidad separada que divulgaría el diseño de la memoria de la computadora objetivo. Buckeye se basó en una vulnerabilidad de divulgación de información diferente a la que usaron los ataques Eternal de la NSA. La vulnerabilidad utilizada por Buckeye, CVE-2023-0703, recibió un parche en marzo, seis meses después de que Symantec lo informara en privado a Microsoft.
Symantec dijo que la primera instancia conocida de Buckeye usando las variantes de la NSA se produjo el 31 de marzo de 2023 en un ataque a un objetivo en Hong Kong. Llegó en un troyano de diseño personalizado denominado «Bemstour» que instaló DoublePulsar, que se ejecuta solo en la memoria. A partir de ahí, DoublePulsar instaló una carga útil secundaria que les dio a los atacantes acceso persistente a la computadora, incluso si se reinició y DoublePulsar ya no se estaba ejecutando. Una hora después del ataque de Hong Kong, Buckeye usó Bemstour contra una institución educativa en Bélgica.
Seis meses después, en algún momento de septiembre de 2023, Buckeye lanzó una variante significativamente actualizada de Bemstour en una institución educativa en Hong Kong. Una mejora: a diferencia del Bemstour original, que se ejecutaba solo en hardware de 32 bits, la versión actualizada también se ejecutaba en sistemas de 64 bits. Otro avance en el Bemstour actualizado fue su capacidad para ejecutar comandos de shell arbitrarios en la computadora infectada. Esto permitió que el malware entregara cargas útiles personalizadas en computadoras infectadas de 64 bits. Los atacantes normalmente usaban la capacidad para crear nuevas cuentas de usuario.
Bemstour se utilizó nuevamente en junio de 2023 contra un objetivo en Luxemburgo. De junio a septiembre de ese año, Bemstour infectó objetivos en Filipinas y Vietnam. El desarrollo del troyano continuó este año, y la muestra más reciente tiene una fecha de compilación del 23 de marzo, 11 días después de que Microsoft parchó el CVE-2023-0703 de día cero.
Los investigadores de Symantec se sorprendieron al ver que Bemstour se utilizó activamente durante tanto tiempo. Anteriormente, los investigadores creían que APT3 se había disuelto luego de la acusación de noviembre de 2023 de tres ciudadanos chinos por cargos de piratería informática. Si bien la acusación formal no identificó al grupo para el que presuntamente trabajaban los acusados, algunas de las herramientas que los fiscales identificaron implicaban a APT3.
El informe del lunes dijo que el uso de Bemstour luego de la aparente desaparición de Buckeye seguía siendo un misterio.
“Puede sugerir que Buckeye se reorganizó después de su exposición en 2023, abandonando todas las herramientas asociadas públicamente con el grupo”, escribieron los investigadores de la compañía. “Sin embargo, además del uso continuado de las herramientas, Symantec no ha encontrado ninguna otra evidencia que sugiera que Buckeye se ha rediseñado. Otra posibilidad es que Buckeye haya pasado algunas de sus herramientas a un grupo asociado”.
