Es probable que en algún punto hayas escuchado mencionar la palabra exploit, pero no sepas de qué trata. Pues bien, un exploit es el nombre usado para designar un programa informático, un fragmento de software o un conjunto de instrucciones hecho con el propósito de sacar provecho de un error o vulnerabilidad presente en un software, hardware o dispositivo electrónico.
De esa manera el exploit permite al atacante tomar control del objetivo, ya sea para activar la concesión de privilegios de administrador o poner en marcha un ataque de denegación de servicio (DoS o DDoS).
Hace poco los equipos de seguridad e inteligencia de amenazas de Microsoft revelaron la existencia de una empresa austriaca que se dedicaba a la venta de programas espía basados en exploits de Windows, los cuales resultaban desconocidos hasta el momento.
A través del blog técnico del Centro de Inteligencia de Amenazas de Microsoft (MSTIC) se pudo conocer en detalle la estrategia usada por la empresa de software, la cual atestiguó por escrito ante la audiencia del Comité de Inteligencia de la Cámara de Representantes sobre el software espía comercial y la cibervigilancia.
Si bien el nombre oficial del desarrollador del software es DSIRF, el equipo de Microsoft ha estado realizando su rastreo bajo el nombre de KNOTWEED.
De acuerdo a los resultados obtenidos por MSTIC en el análisis, se descubrió que los exploits usados por DSIRF para atacar los sistemas contenían un exploit de día cero de escalada de privilegios para Windows, junto con un ataque de ejecución remota de código basado en Adobe Reader.
Afortunadamente el equipo de Microsoft ha señalado que este exploit ha sido parcheado en una actualización de seguridad de manera que el sistema pueda reconocerlo.
Por otro lado, al momento de ofrecer su declaración DSIRF señaló que su trabajo es ayudar a las empresas multinacionales a realizar análisis de riesgos, así como recolectar información empresarial.
Sin embargo, los descubrimientos hechos por Microsoft parecen contradecir lo dicho por DSIRF, ya que la empresa fue vinculada a los exploits en varios aspectos.
En ese sentido, se pudo determinar la vinculación existente entre la infraestructura de comando y control usada por el malware con DSIRF, así como también una cuenta de GitHub usada en un ataque asociada a esta empresa. Sumado a esto un certificado de firma de código emitido por DSIRF el cual es usado para validar un exploit, así como la atribución de Subzero a esta empresa.
Cabe mencionar que, paralelo a la publicación del trabajo realizado por Microsoft en el descubrimiento y combate de los exploits de DSIRF / KNOTWEED, fue presentado un testimonio escrito en la audiencia sobre «lucha contra las amenazas a la seguridad nacional de los estados unidos por la proliferación de software espía comercial extranjero».