Con el apoyo de la Fundación Shadowserver, una organización sin fines de lucro especializada en la recopilación de datos sobre amenazas cibernéticas, los investigadores de seguridad de WatchTowr Labs descubrieron más las 4.000 puertas traseras (o puertas traseras en francés) en la web. Estas vulnerabilidades ocultas fueron colocadas por los ciberdelincuentes en servidores web antes de ser abandonadas. Ya no se utilizaban activamente, pero todavía estaban operativos.
Para que conste, una puerta trasera es un malware instalado en un sitio web o servidor para ofrecer acceso clandestino a los ciberdelincuentes. Le permite ejecutar comandos de forma remota, robar datos o instalar otro malware. En este caso, los piratas informáticos utilizaron dominios de Internet para pasar instrucciones a las puertas traseras. Estos dominios habían caducado.
Lea también: Hackers chinos supuestamente espiaron a Estados Unidos utilizando puertas traseras configuradas para escuchas telefónicas legales
Puertas traseras desmanteladas
Después de descubrir los defectos, los investigadores tomaron la decisión de desmantelar toda la infraestructura para que otros hackers no utilicen las puertas traseras. Para conseguirlo, recompraron todos los dominios dejados por los piratas. De facto, pudieron interceptar las comunicaciones de puerta trasera y tomar el control de ellas. Concretamente, los investigadores pudieron redirigir todas las comunicaciones a servidores seguros.
“Tomamos el control de las puertas traseras (basadas en infraestructura ahora abandonada o dominios caducados) que a su vez estaban integradas en otras puertas traseras”explica el informe de los investigadores de WatchTowr Labs.
A partir de ahí, los expertos de WatchTowr Labs pudieron determinar parte de la lista de víctimas del ciberataque. Según ellos, las puertas traseras se implementaron principalmente en servidores web pertenecientes a agencias gubernamentales o universidades de todo el mundo, particularmente en Tailandia, Corea del Sur y China. Los tribunales y agencias chinos también han sido pirateados.
Lea también: Se está produciendo una filtración de datos de “pesadilla”: la ubicación de millones de teléfonos inteligentes se ha visto comprometida
Ciberdelincuentes financiados por los gobiernos
Todo sugiere que las puertas traseras fueron implementadas por ciberdelincuentes financiados por el gobierno. Una de las puertas traseras también es asociado con Lázarouno de los grupos criminales gobernados por Corea del Norte. Los piratas informáticos se han especializado en robar criptomonedas durante los últimos cinco años.
Son particularmente conocidos por orquestar el hackeo de Ronin Network en 2022, que resultó en la desaparición de 624 millones de dólares en activos digitales. Según WatchTowr Labs, la puerta trasera probablemente haya sido reutilizada por otros ciberdelincuentes desde que Lazarus la insertó:
“Es poco probable que hayamos pillado a Lazarus en acción, dado el perfil del objetivo. Sin embargo, es probable que veamos a otros atacantes reutilizar herramientas desarrolladas por Lazarus para sus propios fines”.
Todo hace pensar que las puertas traseras fueron colocadas por un amplia gama de piratascon diferentes niveles de habilidad. Según los expertos, podemos esperar que se descubran más puertas traseras de este tipo en un futuro próximo.
???? Para no perderte ninguna novedad de 01net, síguenos en Google News y WhatsApp.
Fuente :
Laboratorios WatchTowr
Related News :