Void Balaur, el grupo de mercenarios cibernéticos sigilosos que espía a miles de personas.

En los últimos años, un grupo de hackers se ha dado a conocer por ofrecer servicios de intrusión y ciberespionaje al estilo APT a quien esté dispuesto a pagar. Este grupo se hace llamar Rockethack y es identificado ya que se dedican a  irrumpir en los buzones, cuentas de redes sociales y registros de telecomunicaciones de activistas de derechos humanos, políticos, ejecutivos de negocios y otras personas de alto perfil. Anuncia sus servicios en foros clandestinos en idioma ruso donde es muy respetado por cumplir sus promesas a los clientes y la calidad de la información extraída, dijeron investigadores de la firma de seguridad Trend Micro en un informe reciente que analiza las actividades del grupo. La firma logró identificar a más de 3.500 víctimas en más de una docena de países y muchos sectores industriales. El grupo ha estado anunciando sus servicios desde al menos 2017, pero la evidencia sugiere que sus actividades podrían remontarse a 2015.

“Rockethack tiene un conjunto masivo de intrusiones asociadas con miles de indicadores, que estamos rastreando bajo el nombre de Void Balaur”, dijeron los investigadores de Trend Micro.

Al igual que la mayoría de los grupos de APT, Void Balaur utiliza ataques de phishing altamente dirigidos para comprometer objetivos individuales, pero también hay evidencia de que a menudo va más arriba en la cadena de suministro para obtener acceso a varios proveedores de servicios directamente, así como a otras empresas y organizaciones que tienen datos confidenciales sobre muchas personas en las que sus clientes podrían estar interesados.

Si bien la obtención de copias completas de las comunicaciones de buzones o cuentas de redes sociales es una de las principales ofertas del grupo, sus servicios se extienden mucho más allá de eso con información altamente confidencial que podría exponer a las víctimas a la extorsión, el robo de identidad, el espionaje e incluso poner sus vidas en peligro.

Algunos de los tipos de datos vendidos por el grupo incluyen información sobre:

  • Pasaportes rusos y extranjeros
  • Certificados de matrimonio
  • Formularios N1
  • Boletos de viaje comprados donde se necesita un pasaporte (tren, autobús, aerolíneas y transbordadores)
  • Información sobre el cruce de fronteras sobre individuos
  • Datos sobre los pasajeros que llegan a los aeropuertos rusos
  • Registros de Interpol; antecedentes penales
  • Permisos de migrante
  • Información de registro de armas
  • Registros de tráfico y tomas de cámara
  • Registros del servicio de impuestos
  • Información catastral
  • Registros de fondos de pensiones
  • La mayoría de estos datos se centran en Rusia, lo que sugiere que los atacantes tienen acceso a muchas fuentes de información del gobierno federal y local.

El grupo también ofrece acceso a la información de la cuenta bancaria, incluidos los saldos de las cuentas, los estados de cuenta, los datos de registro de la tarjeta de pago y los números de teléfono principales asociados con las cuentas bancarias. Void Balaur también tiene acceso a datos de telecomunicaciones altamente confidenciales, como SMS y registros de llamadas telefónicas con o sin ubicaciones de torres celulares, la ubicación activa de teléfonos o tarjetas SIM y mapas desde donde se realizaron las llamadas.

Muchos de los objetivos y fuentes de datos del grupo se centran en Rusia y los países de la esfera de influencia de Rusia (la Comunidad de Estados Independientes). Sin embargo, políticos o individuos que trabajan en puestos clave en empresas de Estados Unidos, Israel, Japón y varios países europeos también han sido identificados entre las víctimas.

Void Balaur parece poseer un profundo conocimiento sobre cómo operan las redes de telecomunicaciones, lo que es evidente a partir de los datos que puede ofrecer. También ofrece copias de buzones de correo de ciertos proveedores de servicios de correo electrónico “sin interacción del usuario”, lo que significa sin robo de credenciales a través de phishing. Al igual que con las redes de telecomunicaciones, el hecho de que el grupo pueda obtener buzones sin la interacción del usuario podría sugerir un mayor nivel de acceso a estos proveedores de servicios, la mayoría de los cuales tienen su sede en Rusia.

Si bien no se conoce la ubicación de los miembros de Void Balaur, claramente hablan ruso, ya que la mayoría de sus fuentes de datos y víctimas son de Rusia o países de habla rusa. Sus horas de trabajo durante las campañas observadas por Trend Micro parecen superponerse bien con las horas de trabajo regulares en las zonas horarias de Europa del Este y Rusia Occidental.

Hay evidencia que sugiere que Void Balaur también atiende a actores gubernamentales. Los investigadores de Trend Micro creen con media confianza que Void Balaur es responsable de los ataques contra periodistas y activistas de derechos humanos en Uzbekistán que fueron documentados por eQualitie en 2019 y Amnistía Internacional en 2020.

El grupo también ha atacado a políticos de varios países, incluidos Uzbekistán, Bielorrusia, Ucrania, Eslovaquia, Rusia, Kazajstán, Armenia, Noruega, Francia e Italia. Los objetivos incluían diplomáticos, ministros, miembros del parlamento e incluso el ex jefe de una agencia de inteligencia. Algunas de estas fueron campañas a largo plazo que vieron a los objetivos y, a veces, a sus familiares inmediatos atacados varias veces. A veces, el alcance de los ataques se extendía más allá de Internet y algunas de las víctimas se sentían tan amenazadas que abandonaban sus países de origen.

“Si bien Void Balaur se anuncia en foros clandestinos donde los delincuentes se reúnen para hacer negocios, sus servicios no solo se utilizan para el cibercrimen típico, sino también por razones políticas”, dijeron los investigadores de Trend Micro. “Esto demuestra que Void Balaur está facilitando, a sabiendas o sin saberlo, ataques en los que se pueden violar los derechos humanos, un patrón que también hemos visto en un par de otras campañas. Una parte significativa de estas campañas se parecen al trabajo de un atacante de APT con objetivos a largo plazo”.

Trend Micro también ha observado ataques del grupo contra más de 25 periodistas y organizaciones de medios, pero creen que el número real de periodistas atacados es mayor.

Incluso los ataques que están motivados financieramente pueden ser campañas a largo plazo al estilo APT. Se sabe que Void Balaur se dirige con frecuencia a cuentas de criptomonedas, pero los ataques del grupo contra un intercambio de criptomonedas se han extendido durante varios años y se dirigieron tanto a clientes como a ejecutivos a través de su trabajo y correos electrónicos privados. Uno de los empleados del intercambio incluso fue secuestrado para pedir rescate en el pasado, aunque no está claro si esto está relacionado con las actividades de Void Balaur.
Entre septiembre de 2020 y agosto de 2021, el grupo participó en una campaña sostenida contra las empresas de uno de los conglomerados comerciales rusos más exitosos, dirigida a miembros de la junta, directores, ejecutivos y sus familiares.

En su búsqueda de acceso a grandes fuentes de datos sensibles, Void Balaur se ha dirigido a organizaciones e individuos en los siguientes sectores:

  • Empresas móviles y de telecomunicaciones principales
  • Proveedores de equipos celulares
  • Empresas de radio y comunicaciones por satélite
  • Proveedores de cajeros automáticos
  • Proveedores de sistemas de punto de venta (POS)
  • Empresas y bancos Fintech
  • Empresas de aviación de negocios
  • Organizaciones de seguros médicos
  • Clínicas de fertilización in vitro (FIV)
  • Empresas de biotecnología que ofrecen servicios de pruebas genéticas

Si bien los investigadores creen que Void Balaur es un grupo que opera de forma independiente, han observado una clara superposición en la selección de objetivos con Pawn Storm, también conocido como Fancy Bear o APT28. Se cree que Pawn Storm es la unidad de ciberespionaje de la agencia de inteligencia extranjera de Rusia, el GRU. Por ejemplo, los líderes religiosos, diplomáticos y periodistas atacados por Pawn Storm en el pasado también han sido atacados por Void Balaur. El grupo de mercenarios cibernéticos tiene un grupo mucho más grande y diverso de objetivos que Pawn Storm, que se ha centrado principalmente en el espionaje, la geopolítica y el ejército, por lo que la superposición podría ser una coincidencia porque ciertos individuos podrían ser objetivos interesantes para diferentes partes en diferentes momentos debido a la naturaleza de su trabajo.

Malware de robo de información

Además del phishing altamente dirigido, se sabe que Void Balaur utiliza dos programas de malware llamados Z * Stealer y DroidWatcher. Z*Stealer es un troyano de Windows diseñado para robar credenciales almacenadas de aplicaciones que incluyen software de mensajería instantánea, clientes FTP, clientes de correo electrónico, clientes de escritorio remoto VNC y RDP, navegadores y billeteras de criptomonedas locales.

DroidWatcher es un troyano de Android listo para usar que puede robar mensajes SMS y registros de llamadas, grabar llamadas telefónicas, tomar capturas de pantalla y grabar la posición GPS periódicamente, y espiar aplicaciones de mensajería como VK o WhatsApp. La versión utilizada por Void Balaur se amplió para ocultarse mejor a través de exploits de enraizamiento y mecanismos anti-VM y admite canales adicionales de comando y control y exfiltración de datos, incluidos XMPP, Websockets y Twitter.

Defensa contra Void Balaur 

Defenderse contra atacantes altamente calificados y motivados, como los grupos de ciberespionaje patrocinados por el gobierno, nunca ha sido fácil. Requiere un alto nivel de conciencia de seguridad, conocimiento técnico y dedicación para usar una variedad de herramientas y controles de acceso a través de la presencia en línea. Desafortunadamente, los grupos de mercenarios cibernéticos como Void Balaur que ofrecen sus servicios públicamente a cualquiera que esté dispuesto a pagar hacen que los ataques sofisticados y las filtraciones de datos que invaden la privacidad sean asequibles para grupos de actores maliciosos que de otro modo no tendrían acceso a tales capacidades.

Teniendo en cuenta la gran cantidad de información y el acceso a nivel profundo a las compañías de telecomunicaciones, proveedores de servicios en línea y bases de datos gubernamentales que tiene Void Balaur, es difícil imaginar cómo los individuos privados podrían prevenir efectivamente el robo de su información y comunicaciones confidenciales. Los mercenarios cibernéticos no incluyen solo grupos criminales como Void Balaur, sino también compañías que desarrollan y venden herramientas ofensivas que a menudo se usan indebidamente.

A principios de este mes, el Departamento de Comercio de Estados Unidos incluyó en la lista negra a dos compañías israelíes que venden spyware comercial a agencias gubernamentales y de aplicación de la ley, diciendo que sus herramientas “permitieron a los gobiernos extranjeros llevar a cabo la represión transnacional, que es la práctica de los gobiernos autoritarios que atacan a disidentes, periodistas y activistas fuera de sus fronteras soberanas para silenciar la disidencia”.

Los investigadores de Trend Micro recomiendan encarecidamente las siguientes prácticas recomendadas de seguridad:

  • Utilice los servicios de correo electrónico de un proveedor de buena reputación que se sabe que tiene una seguridad sólida y tiene altos estándares de privacidad.
  • Use la autenticación de dos factores para cuentas de correo electrónico y redes sociales, pero en lugar de usar SMS, considere el uso de una aplicación o un dispositivo como Yubikey.
  • Use aplicaciones con cifrado de extremo a extremo para las comunicaciones.
  • Utilice sistemas de cifrado como Pretty Good Privacy (PGP) para la comunicación que involucra información confidencial o diálogo.
  • Elimine permanentemente los mensajes antiguos e innecesarios para evitar que los datos confidenciales terminen en manos de terceros en caso de que la máquina sea pirateada.
  • Considere usar algunas de las características de las aplicaciones móviles que permiten establecer un tiempo después del cual desaparecen los chats tanto para el remitente como para el receptor.
  • Utilice el cifrado de unidades en todos los dispositivos informáticos.
  • Apague las computadoras portátiles y las computadoras cuando no estén en uso.

Fuente: CSO

Abrir chat
¿Necesitas ayuda?