ESET ha descubierto “Crutch” una amenaza del tipo backdoor aún sin documentar empleada para robar documentación y espiar en la red del Ministerio de Asuntos Exteriores de un país de la Unión Europea. Esta amenaza se atribuye al grupo de desarrollo de amenazas avanzadas persistentes Turla.
El tipo de organismo afectado hace pensar que esta familia se ha utilizado solamente para objetivos muy concretos, cuya finalidad consistía en extraer documentos confidenciales y otros archivos a cuentas de Dropbox controladas por operadores de Turla.
“La actividad principal de este grupo consiste en sustraer documentos y otros archivos sensibles. Debido a la sofisticación del ataque y a los detalles técnicos del descubrimiento, se demuestra que Turla tiene recursos considerables como para operar con este tipo de arsenal tan grande y variado”, asegura Matthieu Faou, investigador de ESET especializado en el grupo Turla.
ESET analiza “Crutch” una amenaza del tipo backdoor
ESET también ha puesto especial atención en las horas de actividad de los ciberdelincuentes para conocer su modus operandi. Para ello, ha conseguido recopilar 506 marcas temporales con fecha entre octubre de 2018 y julio de 2019 en las que se observa que los operadores de Turla están trabajando mientras los sistemas de sus víctimas no están activos.
“Crutch” nueva amenaza del tipo backdoor sin documentar
El análisis concluye que los delincuentes trabajan en una zona horario UTC+3 y que existe un fuerte vínculo entre Crutch y Gazer que se remontan a 2016. Gazer, también conocido como WhiteBear, es una backdoor de segunda etapa utilizada por Turla entre 2016 y 2017.
“Crutch es capaz de sobrepasar varias capas de seguridad abusando de las infraestructuras legítimas –Dropbox, en este caso- con el objetivo de mezclarse con el tráfico de red normal mientras se extraen los documentos robados y se reciben comandos de sus operadores”, concluye Faou.