Un grupo de cibercriminales relacionados con la inteligencia de China fue capaz de robar las herramientas de ciberespionaje utilizadas por la Agencia Nacional de Seguridad (NSA) de Estados Unidos y las usó para efectuar ataques contra objetivos gubernamentales de Europa.
El pasado 2017, un grupo de cibercriminales conocido como Shadow Brokers publicó las herramientas utilizadas por el Equation Group, perteneciente a la NSA, para realizar ciberataques a través de vulnerabilidades día cero de Windows como EternalBlue, empleada en ataques como el del ‘ransomware’ WannaCry.
Ahora, la compañía de ciberseguridad Symantec ha descubierto que un grupo de cibercriminales conocido como Buckeye utilizó las armas de Equation Group en ataques durante el año 2016, meses antes de que Shadow Brokers difundiera públicamente las herramientas.
El diario The New York Times ha relacionado a Buckeye con la inteligencia de China. Este grupo, desaparecido desde 2017, estuvo activo desde al menos 2009, y efectuaba principalmente ataques de espionaje contra organizaciones de Estados Unidos, según Symantec.
En marzo de 2016, Buckeye utilizó DoublePulsar, una de las puertas traseras filtradas por Shadow Brokers, para llevar a cabo un ciberataque contra objetivos en Hong Kong (China). Una hora más tarde, el mismo ‘exploit’ se empleó para atacar a una institución educativa en Bélgica. Symantec ha dejado constancia de otros ataques documentados contra objetivos de Luxemburgo, Vietnam y Filipinas.
A través de esta herramienta, los cibercriminales lograron utilizar la puerta trasera para enviar una carga útil secundaria de metadatos, con la que los atacantes conseguían hacerse con el control de un dispositivo incluso después de que el ‘malware’ fuera retirado, antes de que la vulnerabilidad recibiese un parche.
Según estimaciones de Symantec, las armas utilizadas por Buckeye son una versión elaborada por los propios criminales a partir de las de la NSA, obtenidas a través de «tráfico de red capturado, posiblemente al observar un ataque de Equation Group».
La compañía de seguridad ve menos probable que los atacantes de Buckeye utilizaran una brecha de seguridad para atacar directamente a los servidores de los espías de la NSA, o que un antiguo miembro de la inteligencia de Estados Unidos haya podido filtrar las herramientas.
Fuente: EP