Un grupo de piratas informáticos dedicados a los ataques de espionaje con sede en Rusia ha estado apuntando a computadoras Linux utilizando un malware troyano simple que no requiere privilegios de root, lo que significa que los atacantes tienen la opción de instalar el malware utilizando cualquier cuenta.
Pawn Storm, un grupo de ciberespionaje que ha estado activo desde hace más o menos ocho años, es conocido por su participación en ataques que afectaron a organizaciones gubernamentales, militares y de seguridad que pertenecen a países de la Organización del Tratado del Atlántico Norte.
El grupo utiliza un malware troyano muy simple para infectar sistemas Linux, no solo de esas organizaciones de la OTAN sino también de empresas de defensa y medios de comunicación. Los piratas informáticos de este grupo parecen apuntar a activistas políticos en Ucrania y críticos del gobierno ruso.
A pesar de la simplicidad del troyano, la efectividad del ataque es notable. El grupo utiliza exploits de día cero y campañas de spear phishing para difundir archivos con enlaces maliciosos y contenido adjunto. El grupo también apunta a otros sistemas operativos como Windows a través de un programa de puerta trasera, así como para Mac OS X a través de otras herramientas de malware.
La principal herramienta utilizada por estos piratas informáticos se llama Fysbis, una especie de troyano que tiene una arquitectura modular para futuras mejoras y expansión de lo que puede realizar mediante la adición de complementos. Palo Alto Networks, que descubrió el troyano, informó que el malware tiene la capacidad de instalarse en una computadora de destino incluso sin un privilegio de root, que los piratas informáticos generalmente requieren para obtener acceso privilegiado a un sistema protegido.
El objetivo es robar datos de sistemas infectados para espionaje y otros fines maliciosos. Por lo tanto, realmente no necesita tomar el control de todo el sistema, sino solo para acceder y robar datos confidenciales. En otras ocasiones, los piratas informáticos espían el historial de navegación de las víctimas y otras actividades relacionadas que el usuario realiza con su computadora.
El ataque Fysbis demuestra un hecho evidente sobre el panorama de las amenazas: que no tiene que crecer en sofisticación para llevar a cabo sus objetivos. También destaca la debilidad del sistema Linux, a menudo percibido como el más seguro de todos los sistemas operativos.
Además, sería difícil para las organizaciones detectar las vulnerabilidades de Linux en sus sistemas porque las empresas a menudo invierten en la protección, el mantenimiento y la seguridad de sus sistemas Windows. La creciente negligencia hacia los sistemas Linux es lo que impulsa a los atacantes a centrarse más en esta infraestructura, que todavía se utiliza ampliamente en la actualidad.
