Una comisión del gobierno federal de EE. UU. Asociada con los derechos internacionales ha sido atacada por una puerta trasera que, según se informa, comprometió su red interna en lo que los investigadores describieron como una «operación clásica de tipo APT».
«Este ataque podría haber dado una visibilidad total de la red y el control completo de un sistema y por lo tanto podría ser utilizado como el primer paso en un ataque de varias etapas para penetrar en esta u otras redes más profundamente,» empresa de seguridad Checa Avast dijo en una informe publicado la semana pasada.
El nombre de la entidad federal no fue revelado, pero los informes de Ars Technica y The Record lo vincularon a la Comisión de Estados Unidos sobre Libertad Religiosa Internacional ( USCIRF ). Avast dijo que estaba haciendo públicos sus hallazgos después de intentos infructuosos de notificar directamente a la agencia sobre la intrusión y a través de otros canales establecidos por el gobierno de EE. UU.
En esta etapa, solo se han descubierto «partes del rompecabezas del ataque», lo que deja la puerta abierta para muchas incógnitas con respecto a la naturaleza del vector de acceso inicial utilizado para violar la red, la secuencia de acciones posteriores a la explotación tomadas por el actor y el impacto general del compromiso en sí.
Lo que se sabe es que el ataque se llevó a cabo en dos etapas para implementar dos binarios maliciosos que permitieron al adversario no identificado interceptar el tráfico de Internet y ejecutar el código de su elección, permitiendo a los operadores tomar el control total sobre los sistemas infectados. Lo logra abusando de WinDivert , una utilidad de captura de paquetes legítima para Windows.
Curiosamente, no solo ambas muestras se hacen pasar por una biblioteca de Oracle llamada » oci.dll » , se descubrió que el descifrador de segunda etapa implementado durante el ataque comparte similitudes con otro ejecutable detallado por los investigadores de Trend Micro en 2018, que profundizó en un robo de información ataque a la cadena de suministro impulsado por el nombre » Operación Red Signature » dirigido a organizaciones en Corea del Sur. Las superposiciones han llevado al Avast Threat Intelligence Team a sospechar que los atacantes han tenido acceso al código fuente de este último.
«Es razonable suponer que ocurrió alguna forma de recopilación de datos y exfiltración del tráfico de la red, pero eso es una especulación informada», dijeron los investigadores. «Dicho esto, no tenemos forma de saber con certeza el tamaño y alcance de este ataque más allá de lo que hemos visto».
