Un grupo de ciberespionaje de habla rusa poco conocido ha sido vinculado a una nueva campaña de vigilancia de motivación política dirigida a funcionarios gubernamentales de alto rango, servicios de telecomunicaciones e infraestructuras de servicios públicos en Tayikistán.
El set de intrusión, apodado bicho de papel por la empresa suiza de ciberseguridad PRODAFT, se ha atribuido a un actor de amenazas conocido como Pulpo nómada (también conocido como DustSquad).
«Los tipos de máquinas comprometidas van desde computadoras individuales hasta [operational technology] «Estos objetivos hacen que la operación ‘Paperbug’ esté impulsada por la inteligencia».
El motivo final detrás de los ataques no está claro en esta etapa, pero la firma de seguridad cibernética ha planteado la posibilidad de que podría ser el trabajo de las fuerzas de oposición dentro del país o, alternativamente, una misión de recopilación de inteligencia llevada a cabo por Rusia o China.
El pulpo nómada salió a la luz por primera vez en octubre de 2018 cuando ESET y kaspersky detalló una serie de ataques de phishing montados por el actor contra varios países de Asia Central. Se estima que el grupo ha estado activo desde al menos 2014.
Las ciberofensivas han implicado el uso de malware personalizado de Android y Windows para atacar a una combinación de entidades de alto valor como gobiernos locales, misiones diplomáticas y bloggers políticos, lo que aumenta la posibilidad de que el actor de la amenaza esté probablemente involucrado en operaciones de cibervigilancia.
El malware de Windows, denominado Pulpo y que se hizo pasar por una versión alternativa de la aplicación de mensajería Telegram, es una herramienta basada en Delphi que permite al adversario vigilar a las víctimas, desviar datos confidenciales y obtener acceso de puerta trasera a sus sistemas a través de un panel de comando y control (C2).
Un análisis posterior de Seguridad en diciembre de 2019 destacó los ataques del grupo de amenazas persistentes avanzadas (APT) contra el Ministerio de Relaciones Exteriores de Uzbekistán para desplegar Octopus.
Los hallazgos de PRODAFT son el resultado del descubrimiento de un entorno operativo administrado por Nomadic Octopus desde 2020, lo que convierte a Paperbug en la primera campaña orquestada por el grupo desde Octopus.
Según los datos recopilados por la empresa, el actor de amenazas logró acceder a la red de una empresa de telecomunicaciones, antes de moverse lateralmente a más de una docena de objetivos centrados en redes gubernamentales, ejecutivos y dispositivos OT con vulnerabilidades conocidas públicamente. Se desconoce exactamente cómo y cuándo se infiltró la red de telecomunicaciones.
«La Operación PaperBug se alinea con la tendencia común de atacar la infraestructura del gobierno de Asia Central que recientemente se hizo más prominente», señaló PRODAFT.
Se cree que Nomadic Octopus exhibe cierto nivel de cooperación con otro actor del estado-nación ruso conocido como Sofacy (también conocido como APT28, Fancy Bear, Forest Blizzard o FROZENLAKE), según victimología superposiciones
Los últimos ataques implicaron además el uso de una variante de Octopus que viene con funciones para tomar capturas de pantalla, ejecutar comandos de forma remota y descargar y cargar archivos desde y hacia el host infectado a un servidor remoto. Uno de tales artefacto se subió a VirusTotal el 1 de abril de 2021.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
Una mirada más cercana al servidor de comando y control (C2) revela que el grupo logró ingresar con éxito un total de 499 sistemas a partir del 27 de enero de 2022, algunos de los cuales incluyen dispositivos de red gubernamentales, estaciones de servicio y una caja registradora.
El grupo, sin embargo, no parece poseer conjuntos de herramientas avanzados ni estar demasiado preocupado por cubrir sus huellas en las máquinas de las víctimas a pesar de la naturaleza de alto riesgo de los ataques.
«Mientras operaban en las máquinas comprometidas para robar información, a veces, sin darse cuenta, generaban ventanas emergentes de permiso en las computadoras de las víctimas, lo que generaba sospechas por parte de la víctima», señaló la compañía. «Sin embargo, esto se resolvió debido a que el grupo nombró diligentemente los archivos que transfieren como programas benignos y discretos».
La misma táctica se extiende a nombrar sus herramientas maliciosas también, con el grupo camuflándolas como navegadores web populares como Google Chrome, Mozilla Firefox y Yandex para pasar desapercibidos.
Dicho esto, las cadenas de ataque de Paperbug se caracterizan en gran medida por el uso de herramientas ofensivas públicas y técnicas genéricas, que actúan efectivamente como una «capa» para el grupo y hacen que la atribución sea mucho más desafiante.
«Este desequilibrio entre las habilidades del operador y la importancia de la misión podría indicar que los operadores han sido reclutados por alguna entidad que les proporcionó una lista de comandos que deben ejecutarse exactamente en cada máquina», dijo PRODAFT, y agregó que «el operador sigue un lista de verificación y se ve obligado a apegarse a ella».