domingo, 20 de enero de 2013

Operación octubre rojo: un malware muy "personal".


Operación octubre rojo: un malware muy "personal".

Kaspersky vuelve a descubrir (en realidad lo hizo en octubre de 2012) un malware dirigido a las "altas esferas" que parece haber pasado desapercibido mucho tiempo y programado con intereses muy concretos. Surge la inmediata comparación con TheFlame, pero parece que no llega a ese nivel de sofisticación. Se ha llamado "Operación octubre rojo".

Aunque surja la comparación con TheFlame, y a la espera de más detalles técnicos cuando Kaspersky lo estudie, parece que simplemente se parece en lo robusta que es su infraestructura de centros de control (servidores) y no tanto en sus capacidades técnicas. TheFlame estaba firmado por un certificado válido de Microsoft y eso es un hito que no podrá ser superado en mucho tiempo. Sin embargo, parece que este nuevo malware sí que contiene una infraestructura de proxies, servidores y redirectores muy robusta y compleja que la asemeja con otras amenazas sofisticadas anteriores.

Descripción 
Al parecer el malware ataca a instituciones gubernamentales (y embajadas, industria aeroespacial y militar, centros de investigación...). En principio, está orientado al robo de información, sin grandes sorpresas técnicas: robo de documentos, registro de teclas, robo de contraseñas, de información de dispositivos alrededor (Cisco), de correos en Outlook, el histórico de los navegadores... También obtiene información de los dispositivos conectados, USB y teléfonos móviles (agenda, SMS, etc), por ejemplo.

Algunas de las extensiones que roba el malware (aparte de las típicas de Office, PDF, txt, etc) son interesantes: pgp y gpg (documentos cifrados) y las extensiones ".acid*" usadas por el software "Acid Cryptofiler". Este programa para el cifrado es el que al parecer usa la OTAN. Con estos documentos cifrados y los keyloggers, podrían obtener información altamente confidencial.

Curiosamente, aunque se supone un tipo de ataque muy dirigido, el rango de información que obtiene es muy amplio, y prácticamente al atacante le interesa todo lo que puede tener la máquina infectada, sin discriminar demasiado. Esto puede dar a entender que el objetivo a quien robar podía estar claro, pero no tanto el qué robar. Así que se podría deducir que esta información era revendida a terceros según sus necesidades, y no usadas por los propios atacantes. También que, como ha ocurrido, se trata de un ataque de "largo recorrido".

Cómo funciona 
Como cualquier malware, descarga módulos en forma de librerías y se comunica con sus centros de control (C&C). Recibía órdenes de estos C&C, en forma de tareas persistentes o no. Las no persistentes, se lanzaban una vez y la DLL responsable era inmediatamente borrada. Las tareas "persistentes" son las que esperaban eventos, tales como un teléfono que se conectase, keylogger, obtener todo el correo entrante... Las no persistentes, eran tareas que podían realizarse una vez cada cierto tiempo, como analizar la red interna, recoger información concreta del sistema, o replicarse a otros sistemas en la red.

Kaspersky ha encontrado unos 1.000 módulos diferentes, agrupados en 30 categorías (finalidad del módulo). Algunos compilados en 2007 y otros en enero de 2013. Esta es una pista para hablar de que el malware lleva cinco años en activo... pero quizás sea muy arriesgado afirmar algo así por la fecha de compilación. También se une como indicio el hecho de que algunos dominios usados para contactar estaban registrados en 2010. Esa fecha parece más realista.

La gran variedad de módulos viene explicada porque muchos estaban altamente personalizados para sus víctimas. Los atacantes programaban incluso algunos específicos para una víctima en concreto, que identificaban con un ID (enviado a sus C&C) junto con la información robada.

Esto es lo que le da un carácter diferente y "personal" al malware. Una especie de "dedicación exclusiva" a unos pocos cientos de usuarios infectados, que identificaban con sus IDs y para los que incluso programaban módulos específicos y los lanzaban en forma de tareas no persistentes.
Difusión 
Según el mapa publicado por Kaspersky, buena parte de Europa, Asia e incluso África se ha visto afectada. Existe una manera típica de hacerse una idea del número de infectados, que es hacerse con los dominios con los que contacta el malware. Kaspersky ha controlado 6 de los 60 dominios pertenecientes a sus C&C. En dos meses han recibido 55.000 conexiones de 250 IPs diferentes, principalmente rusas, de Kazajistán, Bélgica, India... A España pertenecen menos de 5 IPs diferentes conectadas (parece que solo una perteneciente a una embajada) y dos víctimas (sistemas) diferenciadas, por tanto, la infección parece mínima. Esto se sabe porque cada conexión HTTP con el C&C (aunque fuese desde la misma IP), enviaba un ID de conexión perteneciente a cada víctima, calculado según las características de la máquina. En cualquier caso, esta información no es definitiva, puesto que recordemos que Kasperksy solo ha tenido acceso a aproximadamente 10% de los servidores de los atacantes.

Infección 
Esta es la parte más "curiosa". El principal método de infección viene por adjuntos en el email aprovechando vulnerabilidades en Office CVE-2009-3129 (Excel), CVE-2010-3333 y CVE-2012-0158 (ambas de Word). Los atacantes tomaron unos documentos previamente creados por una campaña de infección china. Modificaron el payload y los enviaron a sus víctimas. El texto de los documentos no fue personalizado. Sin embargo, los diplomáticos, embajadores y víctima en general quedaron infectados porque:

* Abrieron un documento que probablemente no habían solicitado.

* Sus Office no se encontraban parcheados contra estas vulnerabilidades.

* No tomaron otras medidas que, aunque no hubiese existido parche para esas vulnerabilidades, permitieran mitigar el impacto de las vulnerabilidades

Por supuesto los antivirus no lo detectaron, pero recordemos que no es su misión alertar sobre ataques dirigidos. Simplemente no están programados para hacerlo y nunca lo conseguirán.

Después, una serie de módulos intermedios llegan a la descarga de la puerta trasera funcional, que queda residente y contiene toda la funcionalidad interesante.

Mantenimiento de la infección 
Algo interesante es cómo se protegía a sí mismo de pérdidas de conexión con los centros de control. El malware se camufla como una especie de plugin para Office que se lanza cada vez que se abre un documento. Si se perdía conexión con los controles centrales, el atacante solo tenía que enviar a la víctima otro documento Office concreto especialmente manipulado. Al ser abierto por la víctima, el plugin lo procesaba, reconocía el documento y así retomaba el control, sin necesidad de "reinfección" desde el principio y pasando así mucho más desapercibido. Esperamos que en una segunda entrega, Kaspersky revele más detalles técnicos sobre el asunto.

Más información:
The "Red October" Campaign - An Advanced Cyber Espionage Network Targeting Diplomatic and Government Agencieshttp://www.securelist.com/en/blog/785/The_Red_October_Campaign_An_Advanced_Cyber_Espionage_Network_Targeting_Diplomatic_and_Government_Agencies
 
The "Red October" Campaign - An Advanced Cyber Espionage Network Targeting Diplomatic and Government Agencieshttp://www.securelist.com/en/blog/785/The_Red_October_Campaign_An_Advanced_Cyber_Espionage_Network_Targeting_Diplomatic_and_Government_Agencies

No hay comentarios:

Publicar un comentario