ESET, la mayor empresa de ciberseguridad de la Unión Europea, ha descubierto que el grupo de ciberdelincuentes Dukes (conocido también como APT29 o Cozy Bear), famoso por acceder a los sistemas de información del Comité Nacional del Partido Demócrata en las Elecciones Presidenciales de EEUU en 2016, sigue vivo. Después de un nuevo ataque perpetrado en Noruega en enero de 2017 y debido a que se preveía su regreso en noviembre de 2018, parecía que el grupo había cesado sus actividades. Sin embargo, los investigadores de ESET han descubierto una operación llamada “Ghost”, que comenzó en 2013 pero que sigue en marcha y gracias a la cual Dukes se habría infiltrado en la embajada de un estado miembro de la Unión Europea en Washington D.C. y en los Ministerios de Asuntos Exteriores de al menos tres países.
ESET ha denominado a las familias de malware fabricadas por Dukes como PolyglotDuke, RegDuke y FatDuke. “Una de las primeras huellas que encontramos sobre esta operación fue en julio de 2014 en Reddit”, afirma Matthieu Faou, investigador de ESET. “Podemos confirmar con un elevado nivel de certeza que este grupo está detrás de las operaciones de Ghost que sufrió el Partido Demócrata de EEUU”, continua Faou.
El hecho de atribuir estos ataques a Dukes se basa en las similitudes encontradas en la forma en la que han desarrollado esta campaña y las anteriores. De forma específica, Dukes ha utilizado Twitter y Reddit para albergar las URL del centro de mando y control (C&C) y han utilizado la estenografía para ocultar carga maliciosa en imágenes. Además, los ministerios de Asuntos Exteriores de algunos países han seguido siendo objetivos de ataque (de hecho, dos de ellos ya habían sido comprometidos anteriormente).
“En 2013, cuando se compiló por primera vez PolyglotDuke, solo se había documentado MiniDuke, por lo que creemos que la operación Ghost se comenzó a llevar a cabo a la vez que otras campañas, pero no ha sido detectada hasta ahora”, explica Faou.
En la operación “Ghost”, Dukes ha utilizado un número limitado de herramientas pero se han aprovechado de tácticas muy interesantes para evitar la detección. Se trata de un grupo muy persistente que no deja de robar credenciales para moverse lateralmente por la red. ESET lo ha observado utilizando credenciales de administrador para comprometer máquinas en la misma red local. La plataforma de malware de Dukes es sofisticada y se divide en cuatro fases. Primero recoge las URL del C&C a través de Twitter o en otras redes sociales y otros sitios web. Después, utiliza Dropbox para recibir órdenes de parte de los atacantes para finalmente instalar una sencilla backdoor o puerta trasera que abre las puertas a la instalación de una backdoor más sofisticada, con muchas funciones y una configuración muy flexible.
Para más información sobre esta investigación, se puede leer el post “Operación Ghost Hunt” en el blog de ESET.