Recientemente los investigadores de ESET han conseguido demostrar que los delincuentes detrás del grupo Buhtrap han llegado a utilizar una vulnerabilidad 0-day en sistemas Windows antiguos para lanzar ataques dirigidos a una organización gubernamental del este de Europa.
Josep Albors ha comentado que es difícil asignar a ciencia cierta cada campaña delictiva a un grupo de atacantes. Sin embargo, el experto en ciberseguridad de ESET ha dicho que los componentes del grupo Buhtrap cambiaron sus objetivos antes de que se filtrara el código fuente de sus herramientas.
Es por esto que los investigadores del fabricante de software de seguridad están bastante seguros de que ellos también son responsables de los ataques dirigidos a instituciones gubernamentales que se están observando desde hace algún tiempo.
En una entrada de blog ha informado que Microsoft solucionó recientemente varias vulnerabilidades en su sistema operativo Windows y así lo han anunciado a través de sus boletines mensuales de seguridad.
Entre esas vulnerabilidades se encontraba el 0-day descubierto por un investigador de ESET, aprovechado para lanzar los ataques dirigidos a objetivos en Europa del Este.
“La historia de este grupo de delincuentes se remonta hasta la primavera de 2014, cuando fueron observados realizando ataques a varias empresas rusas. En estos ataques iniciales se instalaba una puerta trasera en los sistemas de las víctimas para conseguir acceso remoto y robar información”.
Este grupo, ya en 2015, cambió sus objetivos y empezó a apuntar a instituciones financieras y gubernamentales de ese país. En febrero de 2016 se filtró el código fuente de las herramientas utilizadas por Buhtrap y, aunque en muchas ocasiones esto es un claro síntoma de que un grupo cesa su actividad, Albors dijo que en esta ocasión no fue así.
Técnicas del grupo Buhtrap
La metodología utilizada en los ataques dirigidos de este grupo, aunque ha estado añadiendo nuevas herramientas a su arsenal y actualizando las más antiguas, sigue siendo muy parecida a la usada en sus inicios, según el experto.
“Se siguen usando documentos maliciosos, normalmente propagados mediante email, que contienen instaladores NSIS y que, a su vez, permiten la descarga de diversas variantes de malware. Además, los delincuentes suelen firmar sus herramientas con certificados válidos, algo que dificulta su detección en las primeras fases del ataque”.
Entre los documentos utilizados por el grupo Buhtratp se han encontrado algunos suplantando la identidad de organizaciones como FinCERT, creada por el Gobierno ruso para ayudar a sus entidades bancarias en materia de ciberseguridad, el Servicio de Migración del Estado de Ucrania o el Departamento de Defensa de los Estados Unidos.
Las herramientas utilizadas en las campañas de espionaje a gobiernos, a pesar de tratarse de objetivos diferentes, son parecidas a las empleadas con empresas y entidades financieras.
Albors ha comentado que este grupo viene empleando vulnerabilidades desde hace algún tiempo para conseguir escalar privilegios en los sistemas atacados y así asegurarse poder instalar el malware.
“Los investigadores de ESET han observado cómo se han utilizado vulnerabilidades antiguas como CVE-2015-2387, aunque el uso reciente de un 0-day en la última campaña descubierta podría indicar un aumento en las capacidades ofensivas de Buhtrap”.
¿Dinero o espionaje?
Los recientes movimientos del grupo, a pesar de que aún se desconocen los motivos por los que sus integrantes dejaron de atacar a entidades financieras y empresas y comenzaron a apuntar a objetivos gubernamentales, podrían ser un buen ejemplo de la fina línea que separa a aquellos ciberdelincuentes que sólo buscan el beneficio económico de los que se centran en el espionaje.
No está claro, en este caso, si uno o varios miembros de este grupo han decidido cambiar el enfoque y por qué razones. Lo que sí es seguro para los investigadores es que, en definitiva, es algo que probablemente se verá más en el futuro.