Un informe reveló que hackers rusos explotaron la vulnerabilidad de Microsoft con un arma digital sofisticada

Desde 2019, el grupo criminal conocido como APT28 ha estado utilizando una herramienta no documentada

Guardar
Hackers rusos burlan seguridad de Windows por 4 años
La infiltración realizada por Forest Blizzard abarca una preocupante gama de objetivos, evidenciando una amenaza global persistente en la ciberseguridad (Imagen Ilustrativa)

Microsoft alertó recientemente sobre las actividades de un sofisticado grupo de hackers respaldado por el Kremlin, identificado como APT28, que ha estado explotando una vulnerabilidad crítica en el Windows Print Spooler. Esta explotación, que permite a los atacantes escalar privilegios y robar credenciales y datos, ha sido realizada mediante una herramienta de hacking hasta ahora desconocida denominada GooseEgg.

Revelado por Microsoft, este grupo ha estado activo desde al menos junio de 2020 y, posiblemente, desde abril de 2019, aprovechando la vulnerabilidad CVE-2022-38028 informada por la Agencia de Seguridad Nacional de Estados Unidos (NSA) y reparada en octubre de 2022 durante el Microsoft October 2022 Patch Tuesday. Sin embargo, no se había indicado en los avisos de la empresa que estuviera siendo activamente explotada.

PUBLICIDAD

APT28, también conocido bajo varios nombres como Forest Blizzard, Sednit, Sofacy, Unidad 26165 del GRU, o Fancy Bear, ha sido vinculado por los gobiernos de Estados Unidos y el Reino Unido a la Unidad 26165 de la Dirección Principal de Inteligencia del ejército ruso, más conocida como GRU, reportó ArsTechnica.

Este grupo ha llevado a cabo múltiples y notorios ciberataques desde mediados de la década de 2000, dirigiendo sus esfuerzos hacia la recolección de inteligencia mediante el hackeo de una amplia gama de organizaciones, principalmente en Estados Unidos, Europa y Oriente Medio.

PUBLICIDAD

La herramienta GooseEgg permite a los atacantes obtener privilegios del sistema, los más altos disponibles en Windows: “A pesar de ser una simple aplicación de lanzamiento, este recurso digital es capaz de generar otras aplicaciones especificadas en la línea de comandos con permisos elevados”, señaló Microsoft.

Esto permite a los actores de amenazas apoyar cualquier objetivo secundario, como la ejecución de código remoto, la instalación de una puerta trasera y el movimiento lateral a través de redes comprometidas. GooseEgg, que se instala usando un simple script de lote, ha mostrado su capacidad para mantener la persistencia en los sistemas infectados, reiniciándose con cada arranque de la máquina comprometida.

El uso de dicha herramienta para desplegar un archivo DLL malicioso, en algunos casos denominado ‘wayzgoose23.dll’, dentro del contexto del servicio PrintSpooler con permisos del sistema, ha sido documentado.

Este archivo DLL funciona como un lanzador de aplicaciones que puede ejecutar otros payloads con permisos de nivel SYSTEM. Microsoft ha observado que Forest Blizzard utiliza GooseEgg en actividades post-compromiso contra objetivos, incluidas organizaciones gubernamentales y no gubernamentales, educativas y del sector del transporte en Ucrania, Europa Occidental y Norteamérica.

Los ataques enfocan en recolección de inteligencia en EE. UU., Europa y Medio Oriente. (REUTERS/Kacper Pempel)
Los ataques enfocan en recolección de inteligencia en EE. UU., Europa y Medio Oriente. (REUTERS/Kacper Pempel)

Entre los ataques de alto perfil adjudicados a APT28 se encuentran la explotación de un zero-day en routers Cisco para desplegar el malware Jaguar Tooth hace un año, advirtió en su momento los servicios de inteligencia estadounidenses y del Reino Unido; más recientemente, en febrero, un aviso conjunto del FBI, la NSA y socios internacionales advirtieron que el grupo de hackers utilizó routers EdgeRouters de Ubiquiti hackeados para evadir detecciones en ataques.

Además, APT28 ha sido vinculado con el hackeo del Parlamento Federal Alemán (Deutscher Bundestag) y las infiltraciones en el Comité de Campaña Congresional Demócrata (DCCC) y el Comité Nacional Demócrata (DNC) antes de las elecciones presidenciales de Estados Unidos de 2016.

Miembros del grupo de hackers fueron acusados por Estados Unidos dos años después por su participación en los ataques al DNC y DCCC, mientras que el Consejo de la Unión Europea sancionó a miembros de APT28 en octubre de 2020 por el hackeo del Parlamento Federal Alemán.

PUBLICIDAD

PUBLICIDAD

Últimas Noticias

Qué aprendió Google del primer Mundial con inteligencia artificial

El director de marketing para Latinoamérica de la empresa tecnológica, Ramiro Sánchez, reveló en Nueva York que la Selección argentina ya concentraba más del 20% de la conversación global en redes antes de arrancar la Copa del Mundo, el dato que la empresa priorizó por sobre el resultado deportivo

Qué aprendió Google del primer Mundial con inteligencia artificial

El humo de los incendios de Canadá y Minnesota envuelve Washington D.C. y pone en alerta a millones en EE. UU.

Una nube espesa redujo la visibilidad en la capital y disparó recomendaciones de precaución para los residentes, mientras el episodio se extiende por varias zonas del país

El humo de los incendios de Canadá y Minnesota envuelve Washington D.C. y pone en alerta a millones en EE. UU.

El Departamento de Justicia de EE. UU. concluye que ya no es ilegal descargar TikTok en los dispositivos federales

Un dictamen de 12 páginas de la Oficina de Asesoría Legal sostuvo que la restricción de 2022 ya no alcanza a la plataforma, tras el traspaso de operaciones y datos en el país a una sociedad controlada por inversores locales

El Departamento de Justicia de EE. UU. concluye que ya no es ilegal descargar TikTok en los dispositivos federales

Identifican los restos de una millonaria desaparecida en California hace 45 años

Un hombre fue condenado por el asesinato de Thelma Gaston, una viuda de 80 años, ocurrido en 1981, pero sus restos solo pudieron ser reconocidos décadas después mediante pruebas de ADN, genealogía genética y registros dentales

Identifican los restos de una millonaria desaparecida en California hace 45 años

Nueva York bajo alerta por lluvias intensas: demoras en LaGuardia y otros aeropuertos por acumulación de agua

El temporal redujo la circulación y generó retrasos en vuelos, mientras las autoridades piden precaución a residentes y viajeros

Nueva York bajo alerta por lluvias intensas: demoras en LaGuardia y otros aeropuertos por acumulación de agua