Kaspersky vuelve a descubrir (en realidad lo hizo en octubre de 2012) un malware dirigido a las "altas esferas" que parece haber
pasado desapercibido mucho tiempo y programado con intereses muy concretos.
Surge la inmediata comparación con TheFlame, pero parece que no llega a ese
nivel de sofisticación. Se
ha llamado "Operación octubre rojo".
Aunque surja la comparación con
TheFlame, y a la espera de más detalles técnicos cuando Kaspersky lo estudie,
parece que simplemente se parece en lo robusta que es su infraestructura de
centros de control (servidores) y no tanto en sus capacidades técnicas.
TheFlame estaba firmado por un certificado válido de Microsoft y eso es un hito
que no podrá ser superado en mucho tiempo. Sin embargo, parece que este nuevo malware sí que contiene una
infraestructura de proxies, servidores y redirectores muy robusta y
compleja que la asemeja con otras amenazas sofisticadas anteriores.
Descripción
Al parecer el malware ataca a instituciones gubernamentales (y embajadas,
industria aerospacial y militar, centros de investigación...). En principio,
está orientado al robo de información,
sin grandes sorpresas técnicas: robo de documentos, registro de teclas, robo de
contraseñas, de información de dispositivos alrededor (Cisco), de correos en
Outlook, el histórico de los navegadores... También obtiene información de los
dispositivos conectados, USB y teléfonos móviles (agenda, SMS, etc), por
ejemplo.
Algunas de las extensiones que
roba el malware (aparte de las típicas de Office, PDF, txt, etc) son
interesantes: pgp y gpg (documentos cifrados) y las extensiones ".acid*" usadas por el software
"Acid Cryptofiler". Este
programa para el cifrado es el que al parecer usa la OTAN. Con estos
documentos cifrados y los keyloggers, podrían
obtener información altamente confidencial.
Curiosamente, aunque se supone un
tipo de ataque muy dirigido, el rango de información que obtiene es muy amplio,
y prácticamente al atacante le interesa
todo lo que puede tener la máquina infectada, sin discriminar demasiado.
Esto puede dar a entender que el objetivo a quien robar podía estar claro, pero
no tanto el qué robar. Así que se podría deducir que esta información era
revendida a terceros según sus necesidades, y no usadas por los propios
atacantes. También que, como ha ocurrido, se trata de un ataque de "largo recorrido".
Cómo funciona
Como cualquier malware, descarga módulos en forma de librerías y se
comunica con sus centros de control (C&C). Recibía órdenes de estos
C&C, en forma de tareas persistentes o no. Las no persistentes, se lanzaban
una vez y la DLL
responsable era inmediatamente borrada. Las tareas "persistentes" son las que esperaban eventos, tales como un
teléfono que se conectase, keylogger, obtener todo el correo entrante... Las no
persistentes, eran tareas que podían realizarse una vez cada cierto tiempo,
como analizar la red interna, recoger información concreta del sistema, o
replicarse a otros sistemas en la red.
Kaspersky ha encontrado unos 1.000 módulos diferentes,
agrupados en 30 categorías (finalidad del módulo). Algunos compilados en 2007 y
otros en enero de 2013. Esta es una pista para hablar de que el malware lleva cinco
años en activo... pero quizás sea muy arriesgado afirmar algo así por la fecha
de compilación. También se une como indicio el hecho de que algunos dominios
usados para contactar estaban registrados en 2010. Esa fecha parece más
realista.
La gran variedad de módulos viene
explicada porque muchos estaban altamente
personalizados para sus víctimas. Los atacantes programaban incluso algunos
específicos para una víctima en concreto, que identificaban con un ID (enviado
a sus C&C) junto con la información robada.
Esto es lo que le da un carácter diferente y "personal" al malware. Una especie
de "dedicación exclusiva" a
unos pocos cientos de usuarios infectados, que identificaban con sus IDs y para
los que incluso programaban módulos específicos y los lanzaban en forma de
tareas no persistentes.
Continuamos en una segunda entrega.
Más información:
The "Red October" Campaign - An
Advanced Cyber Espionage Network Targeting Diplomatic and Government Agencies
Sergio de los Santos