El viejo código de ataque, la nueva arma para los hackers rusos
Los investigadores han encontrado pruebas que sugieren que un grupo de ciberespionaje sigue utilizando con éxito herramientas e infraestructura que se utilizaron por primera vez en ataques hace 20 años.
El Moonlight Maze se refiere a la ola de ataques que atacaron las redes militares y gubernamentales de Estados Unidos en la década de 1990. Mientras el Laberinto de Moonlight desapareció del radar en 1999 hubo sospechas dentro de la comunidad de seguridad que el grupo de ciberespionaje nunca desapareció por completo. Turla, un grupo de ataque de habla rusa que también es conocido como Venomous Bear, Uroburos y Snake.
Ahora, los investigadores de Kaspersky Lab y Kings College de Londres creen que han encontrado la evidencia técnica que une Turla y Moonlight Maze.
Después de analizar Penguin Turla (la herramienta de backdoor basada en Linux utilizada por Turla) y la puerta de atrás basada en herramientas de extracción de datos de código abierto utilizada en los ataques Moonlight Maze, los investigadores concluyeron que ambos estaban establecidos en el programa LOKI2 de código abierto publicado en la revista Phrack en 1996.
“La puerta trasera del laberinto de Moonlight no ha sido desplegada en ataques modernos, pero el hecho de que Penguin Turla use el mismo código fue significativo”, dijo el investigador de Kaspersky Lab, Juan Andrés Guerrero-Saade. "Es una herramienta interesante y obviamente fue uno de los favoritos de los atacantes del Laberinto de la Luna", dijo Guerrero-Saade, señalando que de los 43 binarios Moonlight Maze estudiados, nueve eran ejemplos de la puerta trasera basada en LOKI2. “Es aterrador que una herramienta de hacking de 20 años pudiera seguir siendo relevante y tener éxito en ataques contra sistemas y redes operativos modernos. Los atacantes del Moonlight Maze no tuvieron que aprovechar ningún truco sofisticado para evitar las compañías antivirus o las defensas de seguridad”.
Las operaciones de ciberespionaje y los ataques sofisticados no siempre se refieren al último código nuevo. El grupo de ataque recicló y reutilizó el código en su arsenal, añadiendo nuevas funcionalidades a medida que evolucionaban sus operaciones.
Los investigadores fueron capaces de rastrear el código de puerta trasera a LOKI2, compilado para Linux versiones 2.2.0 y 2.2.5 lanzado en 1999, así como a los binarios enlazados libpcap y OpenSSL desde principios de los años 2000. El código sigue en uso, ya que Kaspersky Lab vio nuevas muestras de Penguin Turla destinadas a un objetivo en Alemania el mes pasado.
Mientras que la evidencia que conecta Moonlight Maze y las recientes campañas de Turla es sólida, los investigadores se quedaron cortos de decir que los atacantes son el mismo grupo. Kaspersky Lab no se dedica a la atribución. El FBI había enviado investigadores a Moscú en los años noventa como parte de su investigación y los investigadores regresaron convencidos de que Moonlight Maze era obra de actores estatales rusos, dijo Thomas Rid, investigador del Kings College que trabajó con Kaspersky Lab.
