Nuevas investigaciones sobre el kit de exploits conocido como Elderwood muestra que los atacantes que lo emplean son más numerosos y posiblemente mejor organizados de lo que se pensaba, según Symantec.

Elderwood es una plataforma de hackeo que ataca mediante código. Abusa de las vulnerabilidades en programas como Flash de Adobe Systems y el navegador Internet Explorer, con el objetivo de espiar computadoras.

Symantec ha dado seguimiento a Elderwood desde 2012 y señala que ha sido empleado contra compañías de defensa, personas involucradas en campañas de derechos humanos, TI y firmas en la llamada "Operación Aurora".

Se piensa que sólo un grupo controla a Elderwood, sin embargo, los últimos hallazgos de seguridad indican una operación más diversificada. Symantec no dice en qué países cree que se ubican los ataques pero se sospecha que la Operación Aurora pudo haber comenzado en China.

Después de que la Operación Aurora vió la luz, Google se adelantó a principios de 2010. En un movimiento sin precedentes, dijo públicamente que los ataques contra su red fueron originados en China, lo que alimentó el conflicto diplomático con los Estados Unidos. Google dijo que los ataques fueron dirigidos desde cuentas de Gmail comprometidas pertenecientes a activistas de derechos humanos.

Symantec ahora se pregunta seriamente qué grupos de cibercriminales están empleando Elderwood, indicando que su desarrollador puede vender la plataforma. Otra posibilidad es que el nucleo de crackers de Elderwood están desarrollando exploits de uso casero para sus propios equipos, escribió el jueves Symantec en una entrada de blog.

"Los grupos de ataque son entidades separadas con sus propias agendas", escribió Symantec. Un subgrupo llamado "Hidden Lynx" tiene como blanco la industria de defensa y usuarios japoneses. "Vidgrab" prefiere a sus objetivos entre los disidentes de la región Este de China, Uyghur. Otro grupo conocido como "Linfo" o "Iceforg" va tras firmas manufactureras, mientras que "Sakurel" se enfoca en compañías aeroespaciales.

A comienzos del año, el kit de exploits Elderwood contenía tres vulnerabilidades de día cero, los cuales son fallos de software que no tienen aún un parche listo. Esas vulnerabilidades incluyen una para Flash (CVE-2014-0502) y dos para Internet Explorer (CVE-2014-0322 y CVE-2014-0324)

Otra pista de que los grupos pueden estar cercanamente conectados es el uso de infraestructura compartida. El exploit de Flash y uno de Internet Explorer, CVE-2014-0322, estaban alojados en el mismo servidor pero eran empleados por los cuatro grupos, escribió Symantec.

Crear el código de ataque para esas vulnerabilidades no es barato, lo que sugiere que los grupos atacantes están comprando los exploits a los desarrolladores de Elderwood, estas organizaciones "deben tener recursos financieros sustanciales".

Si todos los ataques relativos a Elderwood vienen de un gran grupo dividido en equipos, entonces "esos empleados están siendo bien compensados por su trabajo o teniendo algún factor motivante que previene vender los exploits, hechos por ellos mismos, en el mercado abierto".