Un grupo de ciberespionaje reutiliza un viejo algoritmo de ‘puerta trasera’ BIFROSE
Los ciberespías han penetrado infraestructuras TI de organizaciones relacionadas con gobiernos asiáticos desde 2010 a través del criptosistema de puerta trasera Bifrose, de doce años de antigüedad.
Marga Verdú
Un grupo de hackers, que previamente había logrado esquivar los sistemas de seguridad de empresas clave relacionadas con países de Asia, utiliza versiones modificadas de un algoritmo de puerta trasera denominado Bifrose, que fue desarrollado en 2004. Dicho grupo, al que los investigadores de Trend Micro han puesto el nombre de Crossbow (ballesta), ha logrado entrar en los sistemas TI de organizaciones privadas de industrias como electrónica, informática, sanidad y finanzas relacionadas con contratistas y empresas gubernamentales de países asiáticos desde hace cinco años.
Las actividades del grupo ponen en evidencia que actividades como el ciberspionaje no requieren de grandes presupuestos, hacer acopio de vulnerabilidades “día-cero”, ni mucho menos es cosa de programas detectores de malware nunca visto. Las viejas herramientas empleadas en el cibercrimen pueden ser “retuneadas”, optimizadas y programadas para que realicen ataques de manera más eficiente.
El algoritmo modificado de Bifrose empleado por el grupo incluía puertas traseras tales como Kivar y Xbow, que están basadas en o inspiradas en un criptosistema que en el pasado se había llegado a vender en el mercado negro por 10 mil dólares. “Pensamos que el grupo de hackers adquirió el código fuente de BIFROSE y, tras mejorar sus funciones, diseñó un nuevo flujo de instalación, desarrollando al mismo tiempo un nuevo builder con la finalidad de crear un único cargador del backdoor, haciendo más simples y concisas las capacidades del algoritmo”, afirman los investigadores de Trend Micro.
Un aspecto interesante del grupo, según Trend Micro, es que están organizados en dos, tres o puede que más subgrupos. Uno de ellos se dedica a tareas de desarrollo –con al menos 10 miembros programando nuevas funcionalidades para el backdoor. Otro grupo se responsabiliza de seleccionar a las víctimas, configurando parámetros de malware para cada una-, mientras que un tercer equipo se encarga del mantenimiento de la infraestructura expansiva del mismo, lo que incluye la adquisición de más de un centenar de servidores, y el registro de múltiples dominios.
Ver información original al respecto en Fuente:
tor=EREC-5
COMENTARIO :
A traves del ELITRIIP.EXE durante mucho tiempo hemos ido detectando y eliminando cuantas muestras nos han llegado de dicho BIFROSE por lo que nuestros usuarios no se han visto afectados por dichas variantes de dicho backdoor
saludos
ms, 16-12-2015
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.