El Cyber comando de los EEUU está lanzando muestras de malware atribuidas a grupos de hackers Rusos como un esfuerzo para compartir información
- Cibercomando de los EEUU hizo públicas muestras de códigos de hackeo (malware)
- Razón principal es para compartir información de ciberseguridad y posiblemente fines geopolíticos y/o de estrategia militar
- Herramientas han sido atribuidas a Rusia por diversas empresas de ciberseguridad
Por lo general, son los rusos los que vuelcan los archivos de sus enemigos. Esta semana, el Comando Cibernético de los Estados Unidos (CYBERCOM, por sus siglas en inglés), una parte del ejército encargado de las misiones centradas en hacking y la ciberseguridad, comenzó a lanzar públicamente muestras no clasificadas de malware de los adversarios que ha descubierto.
CYBERCOM dice que la drástica medida es para mejorar el intercambio de información entre la comunidad de seguridad cibernética, pero de alguna manera podría verse como una señal para aquellos que hackean los sistemas de EEUU. Una señal indicando algo así como ‘nosotros también podemos hacer públicas sus herramientas y tácticas de hacking‘.
«Esto pretende ser un esfuerzo perdurable y continuo de intercambio de información, y no está enfocado en ningún adversario en particular», dijo Joseph R. Holstead, director interino de asuntos públicos de CYBERCOM.
El viernes, CYBERCOM subió varios archivos a VirusTotal, un motor de búsqueda y repositorio de Google para código malware. Una vez arriba, los usuarios de VirusTotal pueden descargar el malware, ver qué productos antivirus o de ciberseguridad probablemente lo detectan, y ver enlaces a otras piezas de código malicioso.
Desde Rusia con amor
Una de las dos muestras que CYBERCOM distribuyó el viernes está marcada como proveniente de APT28, un grupo de hackers vinculado al gobierno ruso, según varias firmas de ciberseguridad, según lo confirmado por VirusTotal. Entre ellos se incluyen Kaspersky Lab, Symantec y Crowdstrike, entre otros. El grupo de cibercriminales APT28 también se le conoce como Sofacy y Fancy Bear.
Adam Meyers, vicepresidente de inteligencia de CrowdStrike, dijo que la muestra parecía nueva, pero las herramientas de la compañía la detectaron como maliciosa en el primer contacto. Kurt Baumgartner, investigador principal de seguridad en Kaspersky Lab, dijo que la muestra «fue conocida por Kaspersky Lab a finales de 2017» y fue la misma que se usó en ataques en Asia Central y el sudeste de Europa en ese momento.
«Al informar sobre ello, los investigadores de Kaspersky Lab señalaron que parecía interesante que estas organizaciones compartieran la superposición como objetivos anteriores de Turla [otro grupo de hacking ruso]. En general, no es «nuevo» sino que está disponible para el público de VirusTotal «.
El malware en sí no parece estar todavía activo. Un portavoz de Symantec dijo que los servidores de comando y control, las computadoras que le dicen al malware qué comandos ejecutar o almacenar datos robados, ya no funcionan. El vocero agregó que Symantec detectó la muestra cuando la compañía actualizó sus herramientas de detección hace un par de meses.
CYBERCOM anunció su nueva iniciativa el lunes y cargó sus dos primeras muestras el mismo día.
Referencia:
leer más