Otras herramientas de hackeo de NSA están siendo utilizadas en ataques (DarkPulsar y otras)

Industrias de aeroespacio, energía nuclear, I+D y otras, han sido atacadas utilizando poderosas herramientas elaboradas por la Agencia Nacional de Seguridad de Estados Unidos de Norteamérica (NSA).
De acuerdo a investigadores de laboratorios Kaspersky, los atacantes combinan herramientas filtradas desde la NSA como DarkPulsar, DanderSpritz y FuzzBunch para infectar máquinas Windows Server 2003 y 2008, 50 organizaciones de Rusia, Irán y Egipto ya fueron víctimas de este procedimiento.
DanderSpritz consiste meramente en plugins para recopilar inteligencia, utiliza exploits y examina máquinas previamente controladas. Está escrito en Java y provisiona una interfaz gráfica similar a los paneles administrativos de los botnets, y también una consola similar a la de Metasploit. Además incluye sus propios backdoors y plugins para las victimas que no están controladas por FuzzBunch.
FuzzBunch por otra parte ofrece un framework para distintas utilidades que interactúan y trabajan juntas. Contiene varios tipos de plugins que estan diseñados para analizar víctimas, explotar vulnerabilidades, programar tareas, etc.
DarkPulsar es un backdoor que puede ser utilizado por los atacantes en conjunto con FuzzBunch para ganar acceso remoto al servidor objetivo.
Una vez que el backdoor se encuentra operativo, los atacantes pueden utilizar los pluins de DanderSpritz para monitorear y exfiltrar datos desde las máquinas infectadas.
Cada herramienta soporta una cantidad de plugins diseñados para diferentes tareas, los de FuzzBunch sirven para reconocimiento y hackear el sistema objetivo, los de DanderSpritz son usados para la administración de las víctimas ya infectadas.
El hallazgo de esta última ola de ataques es muy importante para demostrar que las amenazas pueden encadenarse desde herramientas de hackeo y exploits desarrolladas por un Estado con el objetivo de crear un poderoso paquete de ataque. También demuestra como los hackers pueden combinar herramientas para realizar operaciones de hackeo con alta sofisticación.
El descubrimiento del backdoor DarkPulsar ayudó a entender su rol como un puente entre estos frameworks previamente filtrados, también como ellos son parte de la misma plataforma de ataque, diseñados para un compromiso de los activos objetivo a largo plazo, basándose en la avanzada facultad de DarkPulsar de persistir y ocultarse.
La implementación de estas capacidades, como por ejemplo, el encapsulamiento del tráfico en protocolos legítimos y el evitar tener que utilizar credenciales de acceso para pasar la autenticación, son altamente profesionales.
Es importante recordar que existen parches de seguridad para estas vulnerabilidades.
Estas herramientas fueron expuestas por el grupo Shadow Brokers en marzo de 2017 y el pack completo se transa en 250 Bitcoins en la dark web.

Para detectar una infección con estas herramientas (si no ha parchado aún, aunque debería) es necesario monitorear el puerto 445, además de un par de sockets que aparecerán en lsass.exe. Cuando DanderSpritz despliega su carga PeddleCheap mediante el plugin PcDllLauncher, la actividad de la red aumenta considerablemente.
Luego cuando una conexión a la máquina infectada se termina y la actividad de la red vuelve a la normalidad, sólo quedan los sockets de lsass.exe
IOCs:
Malware – 96f10cfa6ba24c9ecd08aa6d37993fe4
Ruta – %SystemRoot%System32sipauth32.tsp
Regkey – HKLMSoftwareMicrosoftWindowsCurrentVersionTelephonyProviders
Fuentes: https://securityaffairs.co/wordpress/77278/hacking/darkpulsar-nsa-hacking-tools.html
https://securelist.com/darkpulsar/88199/