Hoy en día, hablar del espionaje o ciberespionaje suele ir asociado al plano propiamente personal o gubernamental, pero esto no siempre es así. Hoy hablamos de otro tipo de espionaje, el industrial, realizado entre competidores para obtener ventajas comerciales. El ataque se llevó a cabo a través del software AutoCAD.
AutoCAD es un software desarrollado por la compañía Autodesk para el modelado y diseño 2D y 3D. A diferencia de otros programas desarrollados por la compañía, como 3DStudio, éste está orientado al diseño industrial, muy utilizado en el mundo de la arquitectura y la ingeniería.
La empresa que ha sacado a la luz este estudio, ha sido la firma de seguridad ForcePoint, que asegura, según los datos recogidos, que este ataque lleva activo desde 2014.
El vector de entrada, como en muchos casos, comienza con campañas de spam: un envío masivo de correos electrónicos con enlaces a sitios que suplantan la identidad de una entidad o a sitios de almacenamiento en la nube.
Para que este ataque tenga el éxito deseado, los atacantes ofrecían documentos robados a otras compañías de la competencia con diseños de grandes proyectos. Estos ficheros llevan consigo el código malicioso encargado de infectar y sustraer la información de la víctima.
La explotación se conseguía gracias a una característica básica de carga automática presente en AutoCAD y que permite la ejecución de scripts basados en AutoLISP, un derivado de LISP, un lenguaje similar al que usan las macros del paquete Office de Microsoft.
Aunque los ficheros AutoLISP son ficheros en texto plano y legible a nivel humano, también permite un realizar un compilado, dando como resultado un fichero llamado ‘acad.fas’, de carga rápida. Gracias a estos compilados, el atacante puede ofuscar el comportamiento fraudulento sin ser detectado de forma sencilla. Estos ficheros, a los que el atacante les ha añadido un componente de descarga, son incluidos junto a los ficheros del proyecto para que sean cargados de forma automática.
Esto permitirá establecer comunicación con el servidor remoto del atacante (C2). Utilizando la información de fecha y hora actuales, el malware establecerá intervalos de conexión para evitar saturar la red del infectado. Una vez se establezca la conexión con el servidor del atacante, el malware enviará proyectos de la víctima, que debido al gran tamaño que pueda tener el proyecto, utilizará servicios en la nube para este tipo de tareas.
En los análisis realizados por la compañía, aunque los dominios utilizados eran distintos, todos apuntaban a una misma IP. La mostramos en la siguiente imagen:
Aunque este tipo de documentos parezca no ser de un gran atractivo, gracias al auge del sector de las energías renovables y cuando se trata de grandes proyectos y empresas a nivel internacional, este tipo de ataques están despertando cada vez más el interés de los atacantes, que buscan constantemente nuevas formas de lucrarse.
Para evitar o mitigar estos problemas, se recomienda desactivar la ejecución automática de estos scripts de carga en el software, para que nos avise y pida confirmación sobre la ejecución de dicho script.
Jose Ignacio Palacios
jipalacios@hispasec.com
@jpalaciosortega
Más información:
AutoCAD Malware – Computer Aided Theft:
https://www.forcepoint.com/blog/security-labs/autocad-malware-computer-aided-theft
Deja un comentario