El laboratorio de ESET ha descubierto una amenaza del tipo backdoor aún sin documentar que se utilizaba para robar documentación y espiar en la red del Ministerio de Asuntos Exteriores de un país de la Unión Europea.
La empresa de ciberseguridad atribuye este programa, denominado Crutch, y uso entre 2015 y al menos hasta principios de 2020, al grupo de desarrollo de amenazas avanzadas persistentes Turla. Se piensa que esta familia se ha utilizado solamente para objetivos muy concretos. La finalidad de este ataque consistía en extraer documentos confidenciales y otros archivos a cuentas de Dropbox controladas por operadores de Turla.
“La actividad principal de este grupo consiste en sustraer documentos y otros archivos sensibles. Debido a la sofisticación del ataque y a los detalles técnicos del descubrimiento, se demuestra que Turla tiene recursos considerables como para operar con este tipo de arsenal tan grande y variado”, asegura Matthieu Faou, investigador de ESET especializado en el grupo Turla.
“Además, Crutch es capaz de sobrepasar varias capas de seguridad abusando de las infraestructuras legítimas –Dropbox, en este caso- con el objetivo de mezclarse con el tráfico de red normal mientras se extraen los documentos robados y se reciben comandos de sus operadores”.
ESET se ha fijado en las horas de actividad de los ciberdelincuentes para conocer su modus operandi. Para ello, ha conseguido recopilar 506 marcas temporales con fecha entre octubre de 2018 y julio de 2019 en las que se observa que los operadores de Turla están trabajando mientras los sistemas de sus víctimas no están activos. El análisis hace pensar que el grupo de delincuentes trabaja en una zona con huso horario UTC+3.
Fuertes vínculos entre Crutch y Gazer
Los investigadores de ESET, tal y como la compañía explica en un comunicado, han encontrado fuertes vínculos también entre Crutch y Gazer que se remontan a 2016.
Gazer, también conocido como WhiteBear, es una backdoor de segunda etapa utilizada por Turla entre 2016 y 2017. Turla lleva activo desde hace más de diez años y ha comprometido los sistemas de diferentes gobiernos de todo el mundo, especialmente de misiones diplomáticas.