GooseEgg: herramienta usada por ciberdelincuentes rusos para atacar Windows

Recientemente, investigadores de ciberseguridad de Microsoft han alertado sobre la herramienta maliciosa GooseEgg, usada por el grupo de ciberdelincuentes rusos Forest Blizzard, para explotar vulnerabilidades de Windows, como la identificada en el servicio Print Spooler, consiguiendo ejecutar código en remoto e instalar puertas traseras para el robo de credenciales. Este grupo, también conocido como Sofacy Fancy Bear, está asociado a la Unidad 26165 de la Agencia de Inteligencia Militar Rusa, formando parte de la Dirección Principal de Inteligencia del Estado Mayor de las Fuerzas Armadas de la Federación Rusa.

Dicho así, puede parecer ficción, pero en los tiempos que estamos no lo es. Estamos hablando de un grupo de ciberdelincuentes que actúan bajo el mandato de las Fuerzas Armadas de la Federación Rusa.

Y es que, en la actualidad muchos países se encuentran en guerra, pero a diferencia de los enfrentamientos convencionales, las batallas se libran en el plano tecnológico, en Internet. En esta lucha no es necesario el uso de soldados, armas o artillería, pero sí la participación de expertos en el área tecnológica.

Las acciones de este grupo, van dirigidas a organizaciones gubernamentales, empresas energéticas y de logística de países como Ucrania, Estados Unidos, países de Europa y Oriente Próximo, así como aquellos que hayan expresado su disconformidad contra las acciones de Rusia contra Ucrania. Además, las acciones se extienden al ámbito de los medios de comunicación, instituciones educativas y deportivas, a nivel global.

Antecedentes del grupo cibercriminal

Este grupo de ciberdelincuentes, está activo desde el año 2010 y su misión ha sido la de recopilar información para la inteligencia del Gobierno Ruso. Es ahora, cuando se conoce la herramienta GooseEgg, usada por Forest Blizzard para la explotación de vulnerabilidades en el sistema operativo Windows, como puede ser la del servicio Print Spooler (cola de impresión).

Ya en el año 2022, Microsoft ofreció una actualización de seguridad para este servicio con el objetivo de solucionar una vulnerabilidad conocida como CVE-2022-38028.

Según la investigación llevada a cabo por Microsoft, los ciberdelincuentes rusos aprovechan esta vulnerabilidad para modificar un archivo que contiene restricciones de JavaScript y así, posteriormente ejecutarlo para obtener permisos de nivel de administración del sistema.

La vulnerabilidad Print Spooler, no es la única explotada por los ataques mediante GooseEgg, ya que también se ha identificado su uso en dos vulnerabilidades del servicio PrintNightmare, comunicadas mediante los identificadores CVE-2021-34527 y CVE-2021-1675, también solucionadas en 2021 por Microsoft.

Uno de los mayores temores de los expertos respecto a las capacidades cibernéticas rusas, es que el Kremlin insta a grupos cibercriminales para coordinar ataques contra los objetivos, para causar así la mayor disrupción posible.

SOBRE EL ESTUDIO REALIZADO

El equipo de investigadores de Microsoft Thread Intelligence, ha publicado los resultados de su investigación sobre esta actividad, cuyos autores tienen su sede en Rusia.

Según explican los investigadores de Microsoft, los atacantes realizaron actividades posteriores contra los objetivos, como se ha mencionado anteriormente, mediante la ejecución de código remoto, instalación de puertas traseras o el movimiento lateral a través de las redes comprometidas. Todo ello, orientado a robar credenciales e información de las organizaciones.

Según han indicado los investigadores, GooseEgg se ha estado utilizando desde abril de 2019.

LA SOLUCIÓN AL PROBLEMA

Aunque parezca algo simple, los investigadores recomiendan, para evitar este tipo de ataques, la actualización de Print Spooler y PrinNightmare (si no se hubiera realizado ya), para implementar los parches lanzados por Microsoft en su día, ya que aunque parezca inverosimil, existen organizaciones y empresas que el asunto de las actualizaciones de seguridad, no lo llevan al día. Algo verdaderamente importante, a lo que se debe prestar especial atención.

Para prevenir este y otros ciberataques, es necesario implementar una combinación de medidas técnicas, políticas y de colaboración internacional. A continuación, se ofrecen algunas posibles soluciones:

1. Mejorar la seguridad de la red:
   • Firewalls avanzados: implementar firewalls de próxima generación para filtrar y bloquear el tráfico malicioso.
   • Segmentación de red: dividir la red en segmentos para limitar la propagación de ataques.
   • Detección de anomalías: utilizar sistemas de detección de anomalías para identificar patrones inusuales en el tráfico de red.
2. Actualizaciones y parches regulares:
   • Mantener los sistemas y aplicaciones actualizados con los últimos parches de seguridad para solucionar posibles vulnerabilidades.
3. Autenticación multifactor (MFA):
   • Implementar MFA para agregar una capa adicional de seguridad al autenticar usuarios y sistemas.
4. Educación y concienciación:
   • Capacitar a los empleados y usuarios sobre las mejores prácticas de seguridad cibernética y cómo reconocer posibles ataques.
5. Colaboración internacional:
   • Compartir información sobre amenazas y tácticas con otros países y organizaciones para una respuesta más efectiva.
   • Establecer acuerdos de cooperación para rastrear y detener a los ciberdelincuentes.
6. Legislación y regulación:
   • Desarrollar y aplicar leyes y regulaciones que penalicen los ciberataques y promuevan la cooperación internacional en la lucha contra el cibercrimen.
7. Monitorización constante:
   • Supervisar de manera continua la red y los sistemas en busca de actividad sospechosa.
   • Responder rápidamente a cualquier incidente de seguridad.

La prevención de ciberataques requiere una estrategia que combine tecnología, educación y colaboración global. Es un desafío constante, pero esencial para proteger la infraestructura crítica y la seguridad de los ciudadanos.

CONCLUSIONES

Los ciberataques procedentes de Rusia han sido una preocupación creciente en los últimos años, especialmente en el contexto de la invasión de Ucrania. Estos ataques han demostrado ser una poderosa arma en el conflicto entre ambos países. A continuación, se presentan algunas conclusiones relevantes sobre este tema:

1. Naturaleza de los ataques: los ciberataques rusos han utilizado principalmente la técnica de “denegación de servicio” (DDoS), inundando los servidores web con solicitudes ilegítimas hasta que colapsan y se bloquean. Esto ha afectado tanto a sitios gubernamentales como a infraestructuras críticas.
2. Objetivos: los ataques han estado dirigidos a organizaciones gubernamentales, locales y regionales, así como al sector de infraestructuras. Esto podría haber tenido efectos negativos en el ejército, la economía y la ciudadanía de los países afectados.
3. Coordinación con ataques convencionales: aunque no hay pruebas concluyentes, algunos informes sugieren que los ciberataques rusos se han coordinado con ataques militares convencionales en ciudades ucranianas.
4. Impacto: los ciberataques pueden paralizar la infraestructura de un país, afectando servicios esenciales como agua, electricidad y telecomunicaciones. En el caso de Ucrania, estos ataques han debilitado aún más al país frente al poder militar ruso.

Los ciberataques procedentes de Rusia han sido una herramienta poderosa en el conflicto con Ucrania, y su impacto sigue siendo motivo de preocupación para la comunidad internacional. Por lo que es fundamental que los países, organizaciones y empresas, refuercen sus defensas cibernéticas y colaboren en la prevención de futuros ataques.