Mérida, Yucatán 97314, México

ventas@hals.com.mx

Gazer, el sigiloso backdoor que espía a embajadas

Investigadores de seguridad de ESET publicaron una nueva investigación (en inglés) que detalla lo que parece ser una nueva faceta de actividades de Turla, el notorio grupo de ciberespionaje que vienen siguiendo desde principios de año. Lo que descubrieron en esta ocasión es un backdoor que se ha estado usando para espiar a consulados y embajadas en todo el mundo.

El equipo de ESET es el primero en documentar este backdoor, al que han llamado Gazer; la evidencia hallada indica que se ha estado usando activamente en ataques contra gobiernos y diplomáticos al menos desde 2016.

GAZER INFECTÓ EQUIPOS EN TODO EL MUNDO, AUNQUE LA MAYORÍA FUERON DE EUROPA

El éxito de Gazer en sus ataques se puede explicar teniendo en cuenta los métodos avanzados que usa para espiar a sus objetivos, y su habilidad para persistir en los dispositivos infectados, escondiéndose para robar información durante largos períodos.

Los investigadores de ESET descubrieron que Gazer logró infectar un buen número de computadoras alrededor del mundo, aunque la mayoría de sus víctimas están en Europa. Curiosamente, al analizar en detalle varias campañas de espionaje que usaron este componente, se identificó que el principal objetivo parece haber sido la parte sur de Europa oriental y algunos países de la antigua Unión Soviética.

Si bien no hay evidencia irrefutable de que este backdoor pertenezca a Turla, los ataques tienen todos los sellos distintivos de las campañas anteriores del grupo, a saber:

Las organizaciones objetivo son embajadas, consulados y ministerios;
Campañas de spear phishing (phishing dirigido) propagan un backdoor como Skipper;
Se introduce un segundo backdoor más sigiloso (Gazer en esta instancia, pero ejemplos anteriores han incluido a Carbon y Kazuar);
El segundo backdoor recibe instrucciones cifradas de la banda a través de servidores de C&C, usando sitios web legítimos comprometidos como un proxy.

Hubo otra similitud notable entre Gazer y creaciones anteriores del grupo Turla que se manifestó al analizar el malware: Gazer hace esfuerzos adicionales para evadir la detección cambiando strings en su código y borrando archivos en forma segura.

En el ejemplo más reciente encontrado por ESET, hay evidencia clara de que alguien había modificado la mayoría de las strings e insertado frases relacionadas a videojuegos a lo largo de su código:

Pero no te dejes engañar por el sentido del humor que el grupo Turla está mostrando aquí: ser víctima de cibercriminales no es ninguna broma.

Todas las organizaciones, ya sea gubernamentales, diplomáticas, de refuerzo de la ley o empresas tradicionales, deben tomarse muy en serio las sofisticadas amenazas de hoy, y adoptar una defensa en capas para reducir las chances de una brecha en sus sistemas.

More from the blog

Descubre las Tendencias Más Innovadoras en Ciberseguridad en el Sophos Partner Roadshow 2023 en Mérida por Hals Intelligence

  Mérida, Yucatán - En un evento que reunió a cerca de 150 partners especializados en ciberseguridad, Sophos, la empresa líder en soluciones de ciberseguridad,...

Actualiza ya tu iPhone para combatir que te puedan espiar

Hoy hemos conocido que Apple ha neutralizado nuevas vulnerabilidades, las primeras de 2023 en los iPhone y que han sido catalogadas como del día...

Porque es importante la Ciberseguridad en las empresas de Yucatán, Hals Intelligence

El director de la empresa Hals Intelligence, Hugo López pionera en ciberseguridad en la peninsula nos habla sobre la importancia de la ciberseguridad...

Importancia de la Ciberseguridad para las personas y las empresas

La ciberseguridad es un tema de gran importancia en el mundo actual, ya que cada vez más nuestra vida cotidiana y nuestros negocios dependen...