Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Grupo Turla usa fallo de SharePoint para acceder a miles de cuentas francesas


Turla, una operación de ciberespionaje vinculada al Servicio Federal de Seguridad de Rusia, ha vuelto a ser noticia tras detectarse ataques contra organizaciones francesas. Este grupo, activo desde hace más de dos décadas, se especializa en el robo sigiloso de información sensible en sectores gubernamentales, diplomáticos, de defensa, justicia y tecnología.




Turla, una operación de ciberespionaje de larga trayectoria vinculada por las autoridades francesas al Servicio Federal de Seguridad de Rusia, ha vuelto a llamar la atención después de que los investigadores detallaran compromisos que afectan a organizaciones francesas.

El grupo ha estado activo durante más de dos décadas y es conocido por robar silenciosamente información sensible de objetivos gubernamentales, diplomáticos, de defensa, justicia y tecnología.

En lugar de confiar en un solo método, los operadores de Turla han utilizado correos electrónicos de phishing, sitios web infectados, sistemas vulnerables expuestos a internet y equipos de red comprometidos para ganar acceso.

Sus campañas pueden comenzar con un archivo aparentemente inofensivo o un servidor débilmente protegido, para luego expandirse hacia un acceso más profundo en la red de una organización.

Miembros del Centro de Coordinación de Crisis Cibernéticas de Francia, conocido como C4 y CERT-FR dijeron en un informe que identificaron actividad vinculada al conjunto de intrusiones de Turla contra entidades francesas.

Los hallazgos muestran que la campaña no se limitó a redes gubernamentales de alto perfil, ya que empresas comunes, asociaciones e individuos también fueron utilizados como trampolines en la infraestructura de los atacantes.

Los casos más graves involucraron sistemas que contenían comunicaciones sensibles y datos de usuarios.

Turla ha atacado entornos de Windows, Linux y macOS, junto con plataformas de correo electrónico, navegadores web, aplicaciones empresariales y servidores web, lo que le otorga al grupo una vía amplia para entrar en organizaciones que dependen de herramientas empresariales comunes.

Turla explota un fallo de SharePoint

En 2019, los investigadores se enteraron de que los operadores de Turla habían comprometido un servidor perteneciente a una organización del sector de la justicia francesa.

El servidor alojaba un servicio de educación continua para el personal, lo que lo convertía en un punto de entrada valioso a un entorno conectado a un gran número de usuarios.

Los atacantes explotaron una vulnerabilidad relacionada con Microsoft SharePoint e instalaron malware en el servidor afectado.

Los investigadores del C4 concluyeron que la operación pudo haber dado a los atacantes acceso a información asociada con varios miles de cuentas de usuario, subrayando cómo una sola plataforma de colaboración expuesta puede crear un problema de privacidad y seguridad mucho más amplio.

Las operaciones vinculadas a Turla han afectado a ministerios franceses, organizaciones diplomáticas, organismos de defensa, entidades del sector judicial y empresas tecnológicas desde la década de 2010.

El informe también describe víctimas intermedias cuyos sistemas fueron tomados y reutilizados como relés ocultos para ataques posteriores.

Este enfoque hace que un incidente sea más difícil de detectar porque una organización comprometida puede no ser el objetivo final de los atacantes.

Un servidor, sitio web o dispositivo puede convertirse en un punto de lanzamiento temporal, ayudando a los operadores a mezclarse con el tráfico de red legítimo mientras buscan información de otra víctima.

Una operación de espionaje persistente

Turla está asociada con una colección de familias de malware personalizadas, incluyendo Uroburos, también llamado Snake, y Kazuar.

Los investigadores señalaron que Kazuar ha seguido evolucionando y se mantuvo en uso en 2026, mientras que los operadores de Turla también utilizan herramientas disponibles públicamente como Mimikatz y Metasploit cuando ayudan a que la intrusión se confunda con la actividad administrativa normal.

La actividad del grupo ha continuado contra Ucrania, países de la OTAN y estados miembros de la Unión Europea durante la guerra de Rusia contra Ucrania.

Los investigadores franceses afirmaron que las operaciones apoyan la recopilación de inteligencia, especialmente contra instituciones gubernamentales, organizaciones de defensa y objetivos relacionados con la tecnología que podrían proporcionar una visión estratégica.

Turla también ha demostrado la capacidad de combinar varias debilidades en una sola cadena de intrusión.

Además de explotar fallos de software, los operadores han utilizado spearphishing y ataques de "watering-hole" que atraen a las víctimas a descargar archivos presentados como software legítimo, aumentando el riesgo para los usuarios que confían en sitios web o documentos de apariencia familiar.

La infraestructura detrás de estas operaciones está diseñada para ocultar a las personas que la operan.

Los investigadores dijeron que Turla ha utilizado servidores comprometidos o alquilados, sitios web que ejecutan sistemas de gestión de contenidos, comunicaciones satelitales y redes de máquinas ya infectadas para gestionar comandos y recuperar información robada.

Para quienes defienden sus redes, el caso refuerza la importancia de aplicar las actualizaciones de seguridad rápidamente, especialmente en servidores de SharePoint expuestos a internet y otros servicios públicos.

Las organizaciones también deberían revisar la actividad de las cuentas, investigar comportamientos inusuales del servidor, limitar el acceso administrativo y evaluar si los sistemas comprometidos pudieron haber sido utilizados como relés en una operación más amplia.

Los hallazgos franceses también muestran por qué una brecha no debe tratarse como un fallo técnico aislado.

Cuando los atacantes obtienen acceso a un servicio compartido utilizado por miles de personas, la exposición posible puede extenderse mucho más allá del servidor original y afectar comunicaciones, identidades, registros internos y futuras oportunidades de ataque.



Fuentes:
https://cybersecuritynews.com/turla-hackers-exploit-sharepoint-flaw/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.