Global Preloader
Noticia Internacional
(07/Mar/2018) Herramientas de la NSA son examinadas

Herramientas de la NSA son examinadas

Un análisis de las herramientas filtradas que se cree fueron desarrolladas por la Agencia de Seguridad Nacional de los Estados Unidos (NSA) proporciona una idea de los métodos utilizados por la organización para detectar la presencia de otros actores patrocinados por el estado en dispositivos hackeados y podría ayudar a la comunidad de ciberseguridad descubrir amenazas previamente desconocidas.

En los últimos años, un misterioso grupo de hackers que se hace llamar Shadow Brokers ha estado filtrando herramientas supuestamente creadas y utilizadas por Equation Group, un actor de amenazas que se cree que está vinculado a la NSA. Los Shadow Brokers han estado tratando de vender herramientas y hazañas de Equation Group, pero sin mucho éxito. Dicen que su objetivo principal ha sido ganar dinero, pero muchos dudan de sus afirmaciones.

De acuerdo con CrySyS, las herramientas son relativamente simples; buscan en el dispositivo específico archivos específicos, entradas de registro de Windows y otros indicadores de compromiso (IoC) asociados con APT conocidas.

Otras herramientas de Equation Group filtradas por Shadow Brokers están diseñadas para permitir a los operadores verificar la presencia de malware más común, pero los módulos de Disputas Territoriales son más interesantes ya que se centran en los ataques patrocinados por el estado. Los investigadores creen que el objetivo de estas herramientas es evitar cualquier conflicto con las partes amigas y también minimizar las posibilidades de que se detecte el propio malware de la NSA.

Los IoC parecen apuntar a APT conocidas cuyas actividades han sido analizadas por la industria de ciberseguridad en la última década, incluyendo APT28 (también conocido como Sofacy y Fancy Bear), Turla (también conocido como Serpiente y Uroburos), Animal Farm, Duqu, Stuxnet, Flame, TeamSpy, Elderwood Group (Operación Aurora), Iron Tiger y Dark Hotel, que se han vinculado a Rusia, Francia, Estados Unidos, Israel, Corea del Sur y China.


CrySyS no excluye la posibilidad de que, dado que estas herramientas hayan estado disponibles públicamente durante casi un año, otras hayan utilizado estos indicadores de compromiso para descubrir APT previamente desconocidas. Además, aunque los IoC son limitados, pueden resultar útiles para obtener más información sobre un grupo de amenazas y establecer conexiones entre los atacantes, sus operaciones y sus herramientas. Bencsát detallará esta investigación el viernes en la Security Analyst Summit (SAS) de Kaspersky Lab en Cancún, México.