Un grupo de
cibercriminales relacionados con la inteligencia de China fue capaz de robar
las herramientas de ciberespionaje utilizadas por la Agencia Nacional de
Seguridad (NSA) de Estados Unidos y las usó para efectuar ataques contra
objetivos gubernamentales de Europa.
El pasado
2017, un grupo de cibercriminales conocido como Shadow Brokers publicó las
herramientas utilizadas por el Equation Group, perteneciente a la NSA, para
realizar ciberataques a través de vulnerabilidades día cero de Windows como
EternalBlue, empleada en ataques como el del 'ransomware' WannaCry.
Ahora, la
compañía de ciberseguridad Symantec ha descubierto que un grupo de
cibercriminales conocido como Buckeye utilizó las armas de Equation Group en
ataques durante el año 2016, meses antes de que Shadow Brokers difundiera
públicamente las herramientas.
El diario
The New York Times ha relacionado a Buckeye con la inteligencia de China. Este
grupo, desaparecido desde 2017, estuvo activo desde al menos 2009, y efectuaba
principalmente ataques de espionaje contra organizaciones de Estados Unidos,
según Symantec.
En marzo de
2016, Buckeye utilizó DoublePulsar, una de las puertas traseras filtradas por
Shadow Brokers, para llevar a cabo un ciberataque contra objetivos en Hong Kong
(China). Una hora más tarde, el mismo 'exploit' se empleó para atacar a una
institución educativa en Bélgica. Symantec ha dejado constancia de otros
ataques documentados contra objetivos de Luxemburgo, Vietnam y Filipinas.
A través de
esta herramienta, los cibercriminales lograron utilizar la puerta trasera para
enviar una carga útil secundaria de metadatos, con la que los atacantes
conseguían hacerse con el control de un dispositivo incluso después de que el
'malware' fuera retirado, antes de que la vulnerabilidad recibiese un parche.
Según
estimaciones de Symantec, las armas utilizadas por Buckeye son una versión
elaborada por los propios criminales a partir de las de la NSA, obtenidas a través
de "tráfico de red capturado, posiblemente al observar un ataque de
Equation Group".
La compañía
de seguridad ve menos probable que los atacantes de Buckeye utilizaran una
brecha de seguridad para atacar directamente a los servidores de los espías de la
NSA, o que un antiguo miembro de la inteligencia de Estados Unidos haya podido
filtrar las herramientas.
Fuente:
Europa Presss