Información sustraída de la NSA revela el uso de herramientas para identificar a otros atacantes

The Hacker News
07/03/2018

Hace unos años, cuando el misterioso grupo de hackers 'The Shadow Brokers' descargó un conjunto masivo de datos confidenciales robados de la agencia de inteligencia estadounidense NSA, todos comenzaron a buscar herramientas secretas de hackeo y exploits de día cero.

Un grupo de investigadores húngaros de seguridad de CrySyS Lab y Ukatemi han revelado que la información sustraída de la NSA no solo contiene exploits de día cero utilizados para controlar sistemas específicos, sino que también incluye una colección de scripts y herramientas de escaneo que la agencia utiliza para rastrear operaciones de atacantes de otros países.

Según un informe publicado por Intercept, el equipo especializado de la NSA conocido como Territorial Dispute (TeDi) desarrolló algunos scripts y herramientas de escaneo que ayudan a la agencia a detectar otros agentes de amenazas extranjeras en las máquinas que infecta.

Los agentes de la NSA utilizaron estas herramientas para escanear sistemas específicos buscando "indicadores de compromiso" (IoC, por sus siglas en inglés) con el fin de proteger sus propias operaciones contra la exposición de sus actividades, así como para descubrir qué agentes de amenazas extranjeras están robando y qué técnicas están utilizando.

"Cuando la NSA compromete máquinas en Irán, Rusia, China y otros lugares, sus operadores quieren saber si espías extranjeros están en las mismas máquinas, ya que estos agentes pueden robar herramientas de la NSA o espiar la actividad de la NSA en las máquinas", informa la publicación.

"Si los otros atacantes son ruidosos e imprudentes, también pueden causar que las operaciones de la NSA se expongan. Por lo tanto, dependiendo de quién más esté en una máquina, la NSA podría decidir si retirarse o proceder con precaución adicional".

El equipo Territorial Dispute de la NSA mantiene una base de datos de firmas digitales, que identifican como huellas dactilares a archivos y fragmentos de varios grupos de atacantes, y realizan un seguimiento de las operaciones de APT (advanced persistent threats) para su atribución.

Según los investigadores, cuando los Shadow Brokers lograron comprometer las redes de la NSA y robaron una colección de archivos confidenciales, en 2013, la agencia estaba rastreando al menos 45 grupos diferentes de APT patrocinados por estados.

También parece que los agentes de la NSA estaban rastreando algunas de las herramientas de Dark Hotel en 2011, eso es aproximadamente 3 años antes de que la comunidad de seguridad global descubriera al grupo de cibercriminales.

Dark Hotel es un grupo de ciberespionaje sofisticado presuntamente de Corea del Sur, conocido por atacar las redes de Wi-Fi de hoteles para espiar a ejecutivos de alto nivel en organizaciones de manufactura, defensa, capital de inversión, capital privado, automotriz y otras industrias.

El grupo de investigadores ha planeado publicar sus hallazgos sobre los scripts y herramientas de escaneo de la NSA esta semana en Kaspersky Security Summit en Cancún, lo que ayudaría a otros investigadores a explorar los datos e identificar más grupos de APT buscados por la NSA.

"El equipo también espera que la información ayude a la comunidad a clasificar algunas muestras de malware y firmas que la comunidad de seguridad haya descubierto previamente, pero que no estén atribuidas a un grupo específico porque los investigadores no saben a qué grupo de atacantes pertenecen", agregó Intercept.

Criptografía y seguridad del sistema (CrySyS Lab) es mejor conocido por descubrir una herramienta de espionaje israelí llamada Duqu en 2011, aparentemente desarrollada por los mismos actores israelíes que ayudaron a EE.UU. a desarrollar el infame malware Stuxnet para sabotear el programa nuclear iraní.

Artículos relacionados: