CIBERCRIMEN | Noticias | 17 FEB 2016

Hackers rusos utilizan un sencillo pero efectivo troyano para atacar Linux

Fysbis pone en riesgo la privacidad de los equipos y cuenta con una arquitectura modular y extensible para adaptarse a cada equipo
seguridad_malware_troyano
Toñi Herrero Alcántara

El conocido grupo ruso especializado en ciberespionaje Pawn Storm  ha vuelto a actuar infectando equipos con sistemas operativos de código abierto Linux. En concreto, lo han hecho a través de un sencillo pero efectivo troyano denominado Fysbis que no requiere grandes privilegios de acceso.

El grupo en cuestión,  también conocido como APT28, Sednit o Sofacy, opera desde 2007 atacando por todo el mundo a organizaciones gubernamentales, de seguridad e incluso militares de los países miembros de la OTAN. También se les conocen ataques contra contratistas de defensa, medios de comunicación, activistas políticos ucranianos o críticos al Kremlin.

Aunque principalmente el grupo utiliza Sednit, un programa de puerta trasera que ataca Windows, también operan en sistemas Mac OS X, Linux y sistemas operativos móviles.  Son conocidos por sus ataques día cero con lo que consiguen introducir su malware en los equipos aprovechando vulnerabilidades que desconocen los usuarios y los fabricantes. Entre sus técnicas para atacar equipos destacan también  el uso del phishing, valiéndose de correos electrónicos infectados con archivos adjuntos maliciosos.

Según un comunicado publicado por investigadores de la compañía Palo Alto Network, pese a todos las posibilidades con las que cuenta este grupo , su arma preferida es precisamente Fysbis, el sencillo troyano que han utilizado contra Linux y del que se tiene noticia desde 2014. No ha sido hasta ahora cuando los investigadores han conseguido descifrar cómo funciona y cuáles han sido realmente sus creadores, apuntando directamente a Rusia y al grupo Pawn Storm.

 Uno de los puntos fuertes de Fysbis es su arquitectura modular  que le permite adaptar sus funcionalidades según las necesidades para cada equipo a través de plug-ins que hacen caer a víctimas individuales.

 “Fysbis puede instalarse por sí sólo en el equipo contando o no con privilegios”, aseguran los investigadores de Palo Alto Network. “Esto aumenta las opciones a la hora de elegir una cuenta en la que instalarse”.

El principal cometido de Fysbis es proceder al robo de datos. Por eso, aún sin conseguir un ataque completo del sistema, este troyano puede acceder a archivos potencialmente sensibles a los que los usuarios han tenido accedido o incluso espiar el historial de navegación web, entre otras actividades que ponen en riesgo la privacidad de los equipos.

 “A pesar de la creencia general de que Linux ofrece mayor grado de protección contra actores maliciosos, el  malware y las vulnerabilidades de Linux existen y están siendo utilizadas por adversario avanzados”, confirman  los investigadores de Palo Alto Network.

Este tipo de virus supone una amenaza para sistemas operativos basados en Linux, sobre todo en entornos empresariales donde la tendencia es utilizar Windows mientras que Linux tiene menos visibilidad en las empresas y soporte, por lo que también es más difícil detectar ataques.

Es precisamente esta brecha de seguridad la que podría explicar, según algunos expertos, por qué grupos como Pawn Storm están dedicando esfuerzos y creando nuevos troyanos para atacar Linux.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información