Operación octubre rojo: un malware muy "personal" (I)

Aunque surja la comparación con TheFlame, y a la espera de más detalles técnicos cuando Kaspersky lo estudie, parece que simplemente se parece en lo robusta que es su infraestructura de centros de control (servidores) y no tanto en sus capacidades técnicas. TheFlame estaba firmado por un certificado válido de Microsoft y eso es un hito que no podrá ser superado en mucho tiempo. Sin embargo, parece que este nuevo malware sí que contiene una infraestructura de proxies, servidores y redirectores muy robusta y compleja que la asemeja con otras amenazas sofisticadas anteriores.

Al parecer el malware ataca a instituciones gubernamentales (y embajadas, industria aerospacial y militar, centros de investigación…). En principio, está orientado al robo de información, sin grandes sorpresas técnicas: robo de documentos, registro de teclas, robo de contraseñas, de información de dispositivos alrededor (Cisco), de correos en Outlook, el histórico de los navegadores… También obtiene información de los dispositivos conectados, USB y teléfonos móviles (agenda, SMS, etc), por ejemplo.

Algunas de las extensiones que roba el malware (aparte de las típicas de Office, PDF, txt, etc) son interesantes: pgp y gpg (documentos cifrados) y las extensiones «.acid*» usadas por el software «Acid Cryptofiler«. Este programa para el cifrado es el que al parecer usa la OTAN. Con estos documentos cifrados y los keyloggers, podrían obtener información altamente confidencial.

Curiosamente, aunque se supone un tipo de ataque muy dirigido, el rango de información que obtiene es muy amplio, y prácticamente al atacante le interesa todo lo que puede tener la máquina infectada, sin discriminar demasiado. Esto puede dar a entender que el objetivo a quien robar podía estar claro, pero no tanto el qué robar. Así que se podría deducir que esta información era revendida a terceros según sus necesidades, y no usadas por los propios atacantes. También que, como ha ocurrido, se trata de un ataque de «largo recorrido«.

Como cualquier malware, descarga módulos en forma de librerías y se comunica con sus centros de control (C&C). Recibía órdenes de estos C&C, en forma de tareas persistentes o no. Las no persistentes, se lanzaban una vez y la DLLresponsable era inmediatamente borrada. Las tareas «persistentes» son las que esperaban eventos, tales como un teléfono que se conectase, keylogger, obtener todo el correo entrante… Las no persistentes, eran tareas que podían realizarse una vez cada cierto tiempo, como analizar la red interna, recoger información concreta del sistema, o replicarse a otros sistemas en la red.

Kaspersky ha encontrado unos 1.000 módulos diferentes, agrupados en 30 categorías (finalidad del módulo). Algunos compilados en 2007 y otros en enero de 2013. Esta es una pista para hablar de que el malware lleva cinco años en activo… pero quizás sea muy arriesgado afirmar algo así por la fecha de compilación. También se une como indicio el hecho de que algunos dominios usados para contactar estaban registrados en 2010. Esa fecha parece más realista.

La gran variedad de módulos viene explicada porque muchos estaban altamente personalizados para sus víctimas. Los atacantes programaban incluso algunos específicos para una víctima en concreto, que identificaban con un ID (enviado a sus C&C) junto con la información robada.

Esto es lo que le da un carácter diferente y «personal» al malware. Una especie de «dedicación exclusiva» a unos pocos cientos de usuarios infectados, que identificaban con sus IDs y para los que incluso programaban módulos específicos y los lanzaban en forma de tareas no persistentes.

Continuamos en una segunda entrega.

Sergio de los Santos

Twitter: @ssantosv