Facebook Linkedin Twitter Instagram Youtube Telegram

Turla se cuela en el Ministerio de Asuntos Exteriores de un país europeo desde Dropbox

ESET descubre una campaña de ciberespionaje que consiguió robar documentos confidenciales 

El laboratorio de ESET ha descubierto una amenaza del tipo backdoor aún sin documentar que se utilizaba para robar documentación y espiar en la red del Ministerio de Asuntos  Exteriores de un país de la Unión Europea. ESET atribuye este programa, denominado Crutch y en uso entre 2015 y, al menos, principios de 2020, al grupo de desarrollo de amenazas avanzadas persistentes Turla. Debido al tipo de organismo afectado, se piensa que  esta familia se ha utilizado solamente para objetivos muy concretos. La finalidad de este ataque consistía en extraer documentos confidenciales y otros archivos a cuentas de Dropbox controladas por operadores de Turla. 

La actividad principal de este grupo consiste en sustraer documentos y otros archivos sensibles. Debido a la  sofisticación del ataque y a los detalles técnicos del descubrimiento, se demuestra que Turla tiene recursos  considerables como para operar con este tipo de arsenal tan grande y variado”, asegura Matthieu Faou,  investigador de ESET especializado en el grupo Turla. “Además, Crutch es capaz de sobrepasar varias capas de  seguridad abusando de las infraestructuras legítimas –Dropbox, en este caso- con el objetivo de mezclarse con el tráfico de red normal mientras se extraen los documentos robados y se reciben comandos de sus  operadores”.  

ESET se ha fijado en las horas de actividad de los ciberdelincuentes para conocer su modus operandi. Para  ello, ha conseguido recopilar 506 marcas temporales con fecha entre octubre de 2018 y julio de 2019 en las  que se observa que los operadores de Turla están trabajando mientras los sistemas de sus víctimas no están activos. El análisis hace pensar que el grupo de delincuentes trabaja en una zona con huso horario UTC+3. 

Los investigadores de ESET han encontrado fuertes vínculos también entre Crutch y Gazer que se remontan a 2016. Gazer, también conocido como WhiteBear, es una backdoor de segunda etapa utilizada por Turla entre  2016 y 2017. Turla lleva activo desde hace más de diez años y ha comprometido los sistemas de diferentes  gobiernos de todo el mundo, especialmente de misiones diplomáticas, operando un arsenal muy grande de  malware que ESET ha ido documentando a lo largo del tiempo.  

Picture of Samuel Rodríguez

Samuel Rodríguez

Periodista. Al frente de Ecommerce News desde 2012. Inquieto. Por el camino he creado otros medios como @BigDataMagazine y @CybersecurityNews. Organizador de cientos de eventos profesionales. Ahora con un pie en Portugal y otro en México… Muy del @GetafeCF

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.