Herramientas de la NSA utilizadas para atacar a las empresas de energía nuclear


Los investigadores de seguridad han descubierto una nueva campaña que utiliza dos marcos de ataque y una puerta trasera supuestamente desarrollada por la NSA para espiar a decenas de objetivos en Rusia, Irán y Egipto.
Las herramientas fueron publicadas originalmente en marzo de 2017 por los Shadow Brokers, un grupo vinculado a la inteligencia rusa que afirmaba provenir de la agencia de espionaje de EE. UU.
Incluyen DanderSpritz, que consiste en “complementos para recopilar inteligencia, usar exploits y examinar máquinas ya controladas”, y FuzzBunch, un marco para que diferentes utilidades interactúen y trabajen juntas, que presenta varios complementos para “analizar víctimas, explotar vulnerabilidades, programar tareas, ”Y más, según Kaspersky Lab.
La puerta trasera DarkPulsar se vincula a los dos marcos, utilizada con FuzzBunch para explotar las vulnerabilidades y obtener acceso remoto a un sistema específico, antes de que DanderSpritz ingrese para observar y eliminar datos.
“Los marcos FuzzBunch y DanderSpritz están diseñados para ser flexibles y para extender la funcionalidad y compatibilidad con otras herramientas. ”, Explicaron los investigadores, cada uno de ellos consiste en un conjunto de complementos diseñados para diferentes tareas: mientras que los complementos de FuzzBunch son responsables de reconocer y atacar a una víctima, los complementos en el marco de DanderSpritz están diseñados para manejar a las víctimas ya infectadas.
“El descubrimiento de la puerta trasera DarkPulsar ayudó a comprender su papel como un puente entre los dos marcos filtrados, y cómo forman parte de la misma plataforma de ataque diseñada para un compromiso a largo plazo, basada en las capacidades avanzadas de DarkPulsar para la persistencia y el sigilo. La implementación de estas capacidades, como encapsular su tráfico en protocolos legítimos y omitir el ingreso de credenciales para pasar la autenticación, es altamente profesional ".
Kaspersky Lab afirmó haber encontrado alrededor de 50 víctimas en Rusia, Irán y Egipto, con los sistemas específicos de Windows Server 2003 y 2008. Las organizaciones en cuestión estaban vinculadas a la energía nuclear, telecomunicaciones, TI, aeroespacial e I + D, explicó el proveedor ruso de AV.