Es más común que haya grupos de hacking que hackers solitarios en Rusia. Algunos de ellos acaban trabajando al final para el gobierno, quien les contrata para obtener información de objetivos de espionaje a través de vulnerabilidades en diversos programas, siendo los de Microsoft los que más ataques reciben, debido a que los productos de software de Microsoft son los más extendidos en los ordenadores de todo el mundo. Entre esos productos se encuentra el sistema operativo Windows, la suite ofimática Office, o el navegador Internet Explorer, incluido en todas las instalaciones de Windows.

Este tipo de ataques son conocidos como Advanced Persistent Threat (APT), y son ataques orquestados por grupos que tienen como objetivo vulnerar la seguridad de un individuo o entidad en concreto. Estos ataques son muy utilizados para obtener inteligencia e información sensible en materia de espionaje por el gobierno, y utilizan malware como medio para corromper la seguridad. Debido a la complejidad de estos ataques, éstos sólo los pueden realizar grupos de hacking, y no por personas individuales.

Un estudio que ha abarcado cuatro años y medio, desde enero de 2012 a julio de 2016, ha revelado que el 54% de los exploits utilizados en los ataques APT tenían como objetivo productos de Microsoft. En el estudio analizaron cuatro grupos APT, dos de los cuales utilizaban 33 vulnerabilidades encontradas en diferentes productos que existen en Windows, tales como Flash Player, Java, Internet Explorer, Office, Firefox y Acrobat Reader. Además, había una vulnerabilidad que afectaba a Linux.

russian-apts-prefer-windows-office-internet-explorer-exploits.png

Estos grupos no comparten entre sí las vulnerabilidades, y cada uno investiga y encuentra las suyas independientemente, o las coge directamente de la red, como fue el caso de tres vulnerabilidades que aparecían en el arsenal de ambos grupos. El estudio halló también evidencias de que los grupos estaban relacionados con organizaciones rusas a nivel estatal.

El 73% de las vulnerabilidades encontradas fueron puestas al público a través de sitios conocidos como GitHub, Exploit DB o directamente en herramientas como Metasploit, por lo que las compañías afectadas han podido parchear sus programas. Los ataques eran llevados a cabo a través de phishing por email con archivos adjuntos que contenían el código malicioso, o a través de enlaces que descargaban automáticamente el malware.

 

Fuente: RecordedFutureSoftpedia | adslzone