El grupo de hackers XDSpy robó secretos gubernamentales en Europa durante años. Para su espionaje cibernético, el grupo previamente desapercibido a menudo usaba spear phishing relacionado con COVID-19.
Los investigadores de ESET descubrieron una red de espionaje cibernético que anteriormente podía operar sin ser detectada. Según el fabricante de seguridad europeo, el grupo APT ha estado activo desde 2011 y se ha especializado en el robo de documentos gubernamentales confidenciales en Europa del Este y la región de los Balcanes. Los objetivos son principalmente entidades gubernamentales, incluidos establecimientos militares y ministerios de relaciones exteriores, así como empresas aisladas. Apodado XDSpy por ESET, la pandilla de hackers ha pasado desapercibida durante nueve años, lo cual es raro.
Las actualizaciones de seguridad desatendidas invitan a los atacantes
“La campaña XDSpy es ejemplar para el estado actual de la ciberseguridad. Actualizaciones de seguridad que no han sido importadas, software y hardware desactualizados, falta de monitoreo: todo esto invita no solo a los espías, sino también a otros delincuentes cibernéticos. Sin embargo, sería una falacia creer que solo las autoridades e instituciones de Europa del Este pueden ser fácilmente víctimas”, dice Thomas Uhlemann, especialista en seguridad de ESET Alemania. “Incluso en los países de habla alemana todavía hay demasiados incidentes de TI. Estos podrían evitarse si se hubieran implementado las reglas de seguridad de TI básicas más simples, como protección contra malware, actualizaciones constantes de hardware y software, presupuestos apropiados, autorizaciones de acceso modernas, encriptación y conocimientos técnicos”.
Ataques exitosos de spear phishing
Los operadores de XDSpy han utilizado durante mucho tiempo correos electrónicos de phishing selectivo para comprometer sus objetivos. Los correos electrónicos varían: algunos contienen un archivo adjunto, mientras que otros contienen un enlace a un archivo malicioso. Suelen ser archivos ZIP o RAR. Cuando la víctima hace doble clic en él, el archivo LNK extraído se descarga e instala "XDDown", el componente principal del malware.
XDSpy aprovecha vulnerabilidad de Microsoft
A fines de junio de 2020, los atacantes intensificaron sus ataques al explotar una vulnerabilidad en Internet Explorer, CVE-2020-0968. Aunque Microsoft lo reparó en abril de 2020, la actualización obviamente no se instaló en todas partes. En lugar de un archivo con un archivo LNK, el servidor Command&Control entregó un archivo RTF. Una vez abierto, descargó un archivo HTML y explotó la vulnerabilidad.
CVE-2020-0968 es parte de una serie de vulnerabilidades similares. Por ejemplo, uno de ellos se puede encontrar en el antiguo motor JavaScript de Internet Explorer, que ha quedado expuesto en los últimos dos años. En el momento en que esta vulnerabilidad fue explotada por XDSpy, no había ninguna prueba de concepto y muy poca información disponible en línea sobre esta vulnerabilidad en particular. Presumiblemente, el grupo de piratas informáticos compró este exploit de un corredor o desarrolló un exploit de 1 día ellos mismos.
Free riders: Víctimas atrapadas con problemas de Covid-19
El grupo de hackers se ha subido al carro del Covid-2020 al menos dos veces en 19. "El último caso se descubrió hace unas semanas como parte de sus campañas de phishing continuo", agrega Matthieu Faou, investigador de ESET. "Dado que no encontramos similitudes de código con otras familias de malware y no observamos superposiciones en la infraestructura de la red, asumimos que XDSpy es un grupo previamente no documentado", concluye Faou.
Más información en WeLiveSecurity en ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.