Investigadores del equipo de Microsoft Threat Intelligence han descubierto una nueva amenaza en Windows provocada por supuestos hackers rusos contratados por el Estado. Para ello han hecho uso de una herramienta personalizada para robar credenciales e incluso instalar puertas traseras en los sistemas.
Los hackers se identifican como APT28 o Fancy Bear, aunque Microsoft los ha identificado por el pseudónimo de Forest Blizzard. Se conoce que estarían vinculados con la unidad militar 26165, la cual es parte de la agencia de inteligencia militar de Rusia.
-Hackers rusos aprovechan vulnerabilidades en Windows
Según afirma Microsoft, el grupo hacker habría utilizado la herramienta explot ‘GooseEgg’ contra el Gobierno, sistemas de transporte e instituciones académicas en Estados Unidos, oeste de Europa y Ucrania.
«Forest Blizzard se centra principalmente en objetivos estratégicos de inteligencia», comunicaba Microsoft. Según parece, los analistas de inteligencia de Microsoft creen que APT28 lleva utilizando GooseEgg desde al menos junio de 2020 y muy posiblemente desde abril de 2019.
Si bien GooseEgg actúa como un simple launcher, lo cierto es que se trata de una herramienta muy peligrosa si está en manos equivocadas, ya que multitud de hackers la han utilizado para explotar la vulnerabilidad en el servicio de cola de impresión de Windows. Esta vulnerabilidad, identificada como CVE-2022-38028, fue solucionada en uno de los parches de octubre de 2022, y fue la Agencia de Seguridad Nacional en Estados Unidos la que se encargó de informar de esta.
GooseEgg por su lado, explota una vulnerabilidad no corregida “modificando un archivo de restricciones de JavaScript y ejecutándolo con permisos de nivel de sistema,” asegura Microsoft. En el informe del equipo de Microsoft Threat Intelligence, se indica hasta qué punto GooseEgg puede ayudar a los hackers rusos.
Según la compañía, «GooseEgg es capaz de generar otras aplicaciones especificadas en la línea de comandos con permisos elevados, lo que permite a los ciberdelincuentes acceder a cualquiera de sus próximos objetivos, como la ejecución remota de código, la instalación de una puerta trasera o el desplazamiento lateral a través de redes comprometidas.»
Esta vulnerabilidad es un ejemplo más de la importancia de actualizar los sistemas siempre que se pueda, ya que por más que algunas actualizaciones consigan corromper algunos de nuestros archivos y aplicaciones personales, logran corregir problemas de seguridad muy importantes que cualquier ciberdelincuente podría aprovechar para hacerse con el control de nuestro sistema.
El exploit es identificado en Windows Defender como ‘HackTool:Win64/GooseEgg’. Además, la vulnerabilidad descrita no sería la única, ya que los ataques estarían aprovechando otra de estas identificada como CVE-2017-8570 que hace referencia a un exploit de Microsoft Office y que se accedería a través de un documento de PowerPoint modificado.
Satya Nadella, CEO de Microsoft, advierte que están trabajando en ello y que está siendo “la prioridad número uno” de la compañía. “Estamos redoblando esfuerzos, anteponiendo la seguridad a todo lo demás, incluso a todas las demás características e inversiones,» afirmaba Nadella en la última reunión con los inversores.