viernes, 18 de enero de 2013

Operación octubre rojo: un malware muy "personal" (y II)

Kaspersky vuelve a descubrir un malware dirigido a las "altas esferas" que parece haber pasado desapercibido mucho tiempo y programado por especialistas con intereses muy concretos. Surge la inmediata comparación con TheFlame, pero parece que no llega a ese nivel de sofisticación. Se ha llamado "Operación octubre rojo".

Difusión

Según el mapa publicado por Kaspersky, buena parte de Europa, Asia e incluso África se ha visto afectada. Existe una manera típica de hacerse una idea del número de infectados, que es hacerse con los dominios con los que contacta el malware. Kaspersky ha controlado 6 de los 60 dominios pertenecientes a sus C&C. En dos meses han recibido 55.000 conexiones de 250 IPs diferentes, principalmente rusas, de Kazajistán, Bélgica, India... A España pertenecen menos de 5 IPs diferentes conectadas (parece que solo una perteneciente a una embajada) y dos víctimas (sistemas) diferenciadas, por tanto, la infección parece mínima. Esto se sabe porque cada conexión HTTP con el C&C (aunque fuese desde la misma IP), enviaba un ID de conexión perteneciente a cada víctima, calculado según las características de la máquina. En cualquier caso, esta información no es definitiva, puesto que recordemos que Kasperksy solo ha tenido acceso a aproximadamente 10% de los servidores de los atacantes.

Fuente: KasperskyLab. http://www.securelist.com/en/images/pictures/klblog/208194085.png

Infección

Esta es la parte más "curiosa". El principal método de infección viene por adjuntos en el email aprovechando vulnerabilidades en Office CVE-2009-3129 (Excel), CVE-2010-3333 y CVE-2012-0158 (ambas de Word). Los atacantes tomaron unos documentos previamente creados por una campaña de infección china. Modificaron el payload y los enviaron a sus víctimas. El texto de los documentos no fue personalizado. Sin embargo, los diplomáticos, embajadores y víctima en general quedaron infectados porque:

  • Abrieron un documento que probablemente no habían solicitado.
        
  • Sus Office no se encontraban parcheados contra estas vulnerabilidades.
        
  • No tomaron otras medidas que, aunque no hubiese existido parche para esas vulnerabilidades, permitieran mitigar el impacto de las vulnerabilidades


Por supuesto los antivirus no lo detectaron, pero recordemos que no es su misión alertar sobre ataques dirigidos. Simplemente no están programados para hacerlo y nunca lo conseguirán.

Después, una serie de módulos intermedios llegan a la descarga de la puerta trasera funcional, que queda residente y contiene toda la funcionalidad interesante.

Mantenimiento de la infección

Algo interesante es cómo se protegía a sí mismo de pérdidas de conexión con los centros de control. El malware se camufla como una especie de plugin para Office que se lanza cada vez que se abre un documento. Si se perdía conexión con los controles centrales, el atacante solo tenía que enviar a la víctima otro documento Office concreto especialmente manipulado. Al ser abierto por la víctima, el plugin lo procesaba, reconocía el documento y así retomaba el control, sin necesidad de "reinfección" desde el principio y pasando así mucho más desapercibido. Esperamos que en una segunda entrega, Kaspersky revele más detalles técnicos sobre el asunto.

Más información:

The "Red October" Campaign - An Advanced Cyber Espionage Network
Targeting Diplomatic and Government Agencies



Sergio de los Santos
Twitter: @ssantosv

No hay comentarios:

Publicar un comentario en la entrada