Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

La puerta trasera del antiguo Moonlight Maze reaparece como un APT moderno

(Imagen: Krypton Solid)

Los investigadores han descubierto que un antiguo APT utilizado para apuntar al Pentágono hace décadas ahora es utilizado por ciberatacantes modernos.

El lunes, en la Cumbre de analistas de seguridad de Kaspersky en St. Investigadores de Kaspersky y Kings College London han dicho que Moonlight Maze, que infundió miedo en los corazones de las agencias estadounidenses hace más de dos décadas, es sigue encontrando relevancia en los ataques de hoy.

La Amenaza Persistente Avanzada (APT), conocida por sus ataques dirigidos contra el Pentágono, la NASA y otras agencias y agencias prominentes de los EE. UU. en la década de 1990, se ha mantenido en secreto luego de violaciones de seguridad adicionales en las universidades de los EE. UU., el Departamento de Energía y el ejército. y gobierno. redes

En ese momento, se llevó a cabo una investigación clasificada sobre Moonlight Maze y, una vez completada, los funcionarios estadounidenses destruyeron las pruebas relacionadas con el APT, que también recibió el nombre en código de Storm Cloud y Maker’s Mark y se mencionó en las filtraciones de Snowden en 2008.

Sin embargo, los investigadores de Kaspersky y Kings College London ahora han logrado volver sobre los pasos del pasado y han encontrado puntos en común entre las herramientas utilizadas por los operadores de Moonlight Maze y los actores de amenazas modernos.

Los investigadores de Kaspersky Lab, Juan Andres Guerrero-Saade y Costin Raiu, junto con Thomas Rid y Danny Moore de Kings College London, analizaron muestras, logotipos y artefactos del antiguo código APT para realizar la conexión, gracias a los esfuerzos de un administrador de TI jubilado. .

CONTENIDO RELACIONADO  En cambio dramático, el patinaje artístico permitirá música con letra

El administrador de TI encontró un servidor comprometido en 1998, que originalmente se usó como punto de retransmisión y proxy para que Moonlight Maze se conectara a los sistemas de las víctimas. Si bien el proxy ocultó los rastros de la APT, el servidor se volvió contra los actores de amenazas y luego se usó como un medio para espiar a los operadores de malware.

Los registros de la víctima, unos 45 archivos binarios que contenían la mayor parte del conjunto de herramientas del atacante y la información del servidor se entregaron a Kaspersky, a quien Guerrero-Saade llamó una «cápsula del tiempo» que contenía un tesoro forense del antiguo código.

Este caché, combinado con entrevistas con unas 40 personas conectadas con la investigación inicial de las fuerzas del orden de EE. UU., permitió al equipo de investigación investigar Moonlight Maze y buscar cualquier evidencia forense concreta que conectara a la antigua APT con un ataque del grupo moderno llamado Turla.

Moonlight Maze es un ataque basado en Unix de código abierto dirigido a los sistemas Solaris y utiliza una puerta trasera basada en el software lanzado en 1996, LOKI2. Según Kaspersky, las muestras tomadas de las campañas de Turla de 2014, llamadas Penguin Turla, también se basan en LOKI2.

(Imagen: Kaspersky)

Después de una investigación de nueve meses en 2016, los investigadores descubrieron que el código base de la campaña «masiva» Moonlight Maze, incluida la puerta trasera basada en Linux utilizada en 1998 para canalizar información de las redes de las víctimas, estaba conectada a APT. . y ataques de 2011 contra un contratista de defensa en Suiza.

CONTENIDO RELACIONADO  Motorola v. Microsoft: el Tribunal de Distrito de EE. UU. Dice que las patentes de FRAND no se pueden utilizar para la rescisión

En marzo, Kaspersky encontró nuevas muestras de Penguin Turla utilizadas para crear una puerta trasera en los sistemas de un objetivo alemán, lo que sugiere que el código anterior se usó incluso este año.

«Además, el nuevo análisis mostró que todos usan códigos creados entre 1999 y 2004», dijo Kaspersky. «Sorprendentemente, este código todavía se usa en los ataques».

El motor de código ha recibido muy pocos cambios y, sin embargo, los atacantes cibernéticos todavía lo utilizan en la actualidad.

Sin embargo, existe una clara progresión entre Moonlight Maze y Penguin Turla, cuyos elementos de código y ataques parecen estar dirigidos a amenazas rusas, y la edad del ataque coloca al APT junto al Equation Group en términos de longevidad.

Kaspersky dice que algunos de los servidores de comando y control (C&C) de Equation Group se remontan a 1996, y Moonlight Maze surgió de las sombras ese mismo año.

Solo hay un total de siete muestras. pinguino turla, todos los cuales fueron subidos a VirusTotal este año después del ataque alemán. Las muestras son raras, porque los operadores de malware usan código «altamente selectivo», según Guerrero-Saade, y solo cuando los atacantes cibernéticos se han lanzado desde una red y quieren intentar recuperar el acceso.

Si bien la evidencia vincula a Moonlight Maze y Turla, Turla también puede confiar en este antiguo código para ataques que son más difíciles de infectar a través del kit de herramientas estándar de Windows del grupo.

«A fines de la década de 1990, nadie predijo el logro y la persistencia de una campaña coordinada de ciberespionaje», dijo Guerrero-Saade. «Debemos preguntarnos por qué los atacantes aún pueden usar con éxito el código antiguo en los ataques modernos».

CONTENIDO RELACIONADO  Encuesta: ¿Puede un diseño ser "correcto"?

En declaraciones a Krypton Solid, Guerrero-Saade dijo que se ha mejorado la funcionalidad del código original de Moonlight Maze, pero es «increíble» que un método de ataque, que se conoce públicamente y se desarrolló hace unos 20 años, todavía está en pañales. usar hoy.

El experto en seguridad cree que la razón por la que la puerta trasera basada en LOKI2 aún puede encajar en las versiones modernas de Linux es que «la mayoría de los administradores de Linux no se toman en serio la seguridad de los puntos finales».

«Sería difícil para mí encontrar una herramienta de Windows de 20 años que aún funcione [in attacks]»Pero hay una herramienta de Linux de 20 años que aún puede ejecutar administradores de Linux».

Según el investigador, la mayoría de los administradores de Linux confían en la separación de los usuarios desfavorecidos y las cuentas raíz, en lugar de las soluciones de seguridad de punto final.

No hay solución para el problema, ya que la puerta trasera no es una vulnerabilidad en sí misma, pero la mejor manera de protegerse contra Turla, que todavía usa el código antiguo, es considerar la protección de los puntos finales de la red.

Divulgación: El viaje a St. Maarten fue patrocinado por Kaspersky.

VIDEO: El hacker ruso Fancy Bear vuelve a robar los registros médicos de los atletas

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

Gmail está bloqueando a los usuarios durante una hora

Hoy, Gmail se ha reducido a un «subconjunto de usuarios» (pero por lo que sé, parece que eran todos). Cuando intentaron autenticarse, los usuarios recibieron un mensaje de error descriptivo de uber «Error temporal (502)».

ACCC busca NBN Co

La Comisión Australiana de Competencia y Consumidores (ACCC) solicitó a NBN Co información financiera confidencial que se utilizará para determinar cómo la empresa espera recuperar los costos para el lanzamiento de la Red Nacional de

Dentro del tono original de Uncharted

Arriba puedes ver el video original del juego, cuyo nombre en código es Project Big, que se convertirá en Inexplorado, no descubierto, desconocido. Una combinación de arte conceptual, pruebas de animación y muchas palabras de

¿Eres mejor que los gatitos?

¿Eres mejor que los gatitos? Entonces, ¿crees que eres un buen diseñador? ¿Fuiste a una buena escuela? ¿Tiene una cartera llena hasta el borde con un diseño de vanguardia? Bueno, piénselo de nuevo. Porque amigo,

Corel lanza el nuevo WordPerfect | Krypton Solid

¿Microsoft tiene miedo? Improbable… Corel comenzará a vender la nueva versión de su software de oficina WordPerfect el miércoles, pero los analistas no esperan que el paquete progrese mucho en comparación con Microsoft Office. WordPerfect

El servidor con el molino de viento encima.

Parques eólicos y granjas de servidores, pareja energéticamente eficiente. Esto muestra un estudio de un académico británico. El estudio concluye que los servidores internos deberían dar paso a granjas de servidores ubicadas en áreas remotas,

Microsoft toca WorldView para IE VRML

Disponible para Descargar ahora, en el sitio web de Microsoft, WorldView se convertirá en la implementación principal del visor VRML 2.0 de Microsoft en IE. WorldView proporciona comandos de navegación, configuraciones de velocidad y un

Aston Martin presenta un nuevo Vantage

Este nuevo Vantage 2018 es un coche muy importante para Aston Martin. No su vehículo característico, como los coches de la serie DB, que llevan el nombre de David Brown, salvó a la empresa de

Red Hat lanza lo último en la línea RHEL 6.x

Es hora de saludar y despedirse. Hola Red Hat Enterprise Linux (RHEL) 6.9, la última actualización de la plataforma RHEL 6. Y adiós, porque será la última actualización importante de esta distribución de servidor Linux

Vulnerabilidades «muy críticas» en VLC media player

Un par de vulnerabilidades «altamente críticas» en VLC Media Player multiplataforma podrían exponer a millones de usuarios al riesgo de ataques de ejecución remota de código, según una advertencia de investigadores de seguridad. Los problemas,

Multidifusión en un mundo unidifusión

La industria ha criticado anteriormente los precios de multidifusión de NBN Co, pero ¿es un producto relevante a medida que favorecemos cada vez más el video a pedido? Cuando NBN Co lanzó los detalles de

Los lectores se unen al debate Tribal Voice-AOL

¿Tiene America Online Inc. (aol) levantó barreras injustas en torno a su cliente de mensajería instantánea, o ¿le ganó a la empresa el derecho a proteger la ventaja de mercado de AOL Instant Messenger frente

Una guía simple para la tipografía receptiva

Una guía simple para la tipografía receptiva La gran mayoría de los artículos que hablan sobre diseño receptivo se centran en dos áreas principales: una cuadrícula fluida y flexible e imágenes fluidas y flexibles. De

El experto del gobierno dice que es de código abierto

Un experto de la sede de seguridad informática del gobierno del Reino Unido, CESG (Communications-Electronics Security Group), apoyó a Linux junto con el modelo de código abierto para el desarrollo de software como la arquitectura

Internet piensa que quiero vestidos y me gustan

Empecé hace unos años usando un motor de búsqueda sin seguimiento, llamado DuckDuckGo y una VPN (Red Privada Virtual) sin registro, llamada VyprVPN. Ahora, cuando me conecto, los anuncios que veo con mayor frecuencia son

¿Mi computadora tiene un virus? Oye, es un virus.

si empieza Cambriones Así es, las partes de la computadora no se construirán en el futuro. Serán levantados. La empresa con sede en Palo Alto, California, utiliza métodos que permitirán a los investigadores construir semiconductores

El GPS acelera la limpieza del WTC

NUEVA YORK – Una pequeña empresa que produce tecnología de rastreo es uno de los héroes desconocidos de los esfuerzos de recuperación y limpieza de la Zona Cero, que terminaron el jueves en medio de

15 enfoques inspiradores de CSS

15 enfoques inspiradores de CSS HTML solo llevará al diseñador web hasta ahora y si desea crear un diseño web dinámico, atractivo y reactivo, debe aprender e implementar CSS. No solo puede crear elementos de

Oferta de la semana: The Bricks UI Framework

Oferta de la semana: The Bricks UI Framework El popular conjunto de recursos de DesignModo ‘Los bloques’ está disponible una vez más a través de nuestro sitio hermano MightyDeals.com. Muy popular entre diseñadores y desarrolladores,

Oracle lanza laboratorio de innovación en Brasil

Oracle ha lanzado un nuevo laboratorio de innovación en Brasil para crear proyectos de innovación con clientes y startups. Anteriormente con sede en las oficinas brasileñas de la empresa, la versión local del laboratorio de

Deja un comentario