Para contextualizar, el grupo de hackers Forest Blizzard (Sofacy y Fancy Bear, son otras formas de nombrarlos) está asociado con la Unidad 26165 de la agencia de inteligencia militar de la Federación Rusa. Esto significa, forman parte de la Dirección Principal de Inteligencia del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU). Forest Blizzard se enfoca principalmente en organizaciones gubernamentales, energéticas y de transporte en países como Ucrania, Estados Unidos, Europa y Oriente Próximo. Sin embargo, también dirige su atención hacia los medios de comunicación, instituciones educativas y organizaciones deportivas a nivel global.
Desde al menos el año 2010, su misión principal ha sido recopilar inteligencia para respaldar las iniciativas de política exterior del Gobierno ruso
Si se echa una mirada al pasado, desde al menos el año 2010, su misión principal ha sido recopilar inteligencia para respaldar las iniciativas de política exterior del Gobierno ruso. Recientemente, se ha dado a conocer una herramienta llamada Goose Egg, utilizada por Forest Blizzard para aprovechar las vulnerabilidades del sistema operativo Windows, como la del servicio Print Spooler. Estos hallazgos fueron compartidos por el equipo de investigadores de Microsoft Threat Intelligence, quienes han publicado los resultados de su investigación sobre las actividades de este actor de amenazas con sede en Rusia.
En cuanto a su mecanismo, el servicio de impresión Print Spooler utiliza su función de cola de impresión en el sistema operativo de Windows. En el año 2022, Microsoft ofreció una actualización de seguridad para este servicio con el objetivo de solucionar una vulnerabilidad conocida como CVE-2022-38028. Según la investigación llevada a cabo por Microsoft, hackers rusos llamados Forest Blizzard aprovecharon esta vulnerabilidad utilizando una herramienta conocida como Goose Egg. Goose Egg fue utilizada para modificar un archivo que contenía restricciones de JavaScript, y posteriormente se ejecutó para obtener permisos de nivel de sistema.
De acuerdo a los investigadores de Microsoft, esta explotación permitió a los atacantes llevar a cabo actividades adicionales contra objetivos gubernamentales, como la ejecución remota de código, la instalación de una puerta trasera, y la propagación a través de redes comprometidas. Todo esto con el objetivo de robar credenciales e información de las organizaciones afectadas.
Sin embargo, la vulnerabilidad de Print Spooler no es la única afectada por estos ataques utilizando Goose Egg. También se han identificado dos vulnerabilidades en el servicio PrintNightmare (CVE-2021-34527 y CVE-2021-1675), que también fueron solucionadas por Microsoft en el año 2021. Los investigadores han señalado que Goose Egg ha estado en uso desde al menos junio de 2020, y posiblemente desde abril de 2019.
Para prevenir este tipo de ataques, los investigadores han recomendado a los usuarios y organizaciones que actualicen tanto Print Spooler como PrintNightmare, en caso de que aún no lo hayan hecho, para implementar las correcciones proporcionadas por Microsoft. Para finalizar, es importante concretar que, se ha pedido a los usuarios que sigan las sugerencias de protección de credenciales indicadas en la descripción general del robo de credenciales local de Microsoft, con el objetivo de aprender a defenderse contra las tácticas habituales de robo de credenciales. Además, se ha recomendado el uso de programas antivirus como Microsoft Defender
Si (
No(
