Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
23 de Diciembre, 2014    General

Operación octubre rojo: un malware muy "personal"


Kaspersky vuelve a descubrir (en realidad lo hizo en octubre de 2012) un malware dirigido a las "altas esferas" que parece haber pasado desapercibido mucho tiempo y programado con intereses muy concretos. Surge la inmediata comparación con TheFlame, pero parece que no llega a ese nivel de sofisticación. Se ha llamado "Operación octubre rojo".

Aunque surja la comparación con TheFlame, y a la espera de más detalles técnicos cuando Kaspersky lo estudie, parece que simplemente se parece en lo robusta que es su infraestructura de centros de control (servidores) y no tanto en sus capacidades técnicas. TheFlame estaba firmado por un certificado válido de Microsoft y eso es un hito que no podrá ser superado en mucho tiempo. Sin embargo, parece que este nuevo malware sí que contiene una infraestructura de proxies, servidores y redirectores muy robusta y compleja que la asemeja con otras amenazas sofisticadas anteriores.

Descripción

Al parecer el malware ataca a instituciones gubernamentales (y embajadas, industria aerospacial y militar, centros de investigación...). En principio, está orientado al robo de información, sin grandes sorpresas técnicas: robo de documentos, registro de teclas, robo de contraseñas, de información de dispositivos alrededor (Cisco), de correos en Outlook, el histórico de los navegadores... También obtiene información de los dispositivos conectados, USB y teléfonos móviles (agenda, SMS, etc), por ejemplo.

Algunas de las extensiones que roba el malware (aparte de las típicas de Office, PDF, txt, etc) son interesantes: pgp y gpg (documentos cifrados) y las extensiones ".acid*" usadas por el software "Acid Cryptofiler". Este programa para el cifrado es el que al parecer usa la OTAN. Con estos documentos cifrados y los keyloggers, podrían obtener información altamente confidencial.

Curiosamente, aunque se supone un tipo de ataque muy dirigido, el rango de información que obtiene es muy amplio, y prácticamente al atacante le interesa todo lo que puede tener la máquina infectada, sin discriminar demasiado. Esto puede dar a entender que el objetivo a quien robar podía estar claro, pero no tanto el qué robar. Así que se podría deducir que esta información era revendida a terceros según sus necesidades, y no usadas por los propios atacantes. También que, como ha ocurrido, se trata de un ataque de "largo recorrido".

Fuente: KasperskyLab. http://www.securelist.com/en/images/pictures/klblog/208194085.png

Cómo funciona

Como cualquier malware, descarga módulos en forma de librerías y se comunica con sus centros de control (C&C). Recibía órdenes de estos C&C, en forma de tareas persistentes o no. Las no persistentes, se lanzaban una vez y la DLL responsable era inmediatamente borrada. Las tareas "persistentes" son las que esperaban eventos, tales como un teléfono que se conectase, keylogger, obtener todo el correo entrante... Las no persistentes, eran tareas que podían realizarse una vez cada cierto tiempo, como analizar la red interna, recoger información concreta del sistema, o replicarse a otros sistemas en la red.

Kaspersky ha encontrado unos 1.000 módulos diferentes, agrupados en 30 categorías (finalidad del módulo). Algunos compilados en 2007 y otros en enero de 2013. Esta es una pista para hablar de que el malware lleva cinco años en activo... pero quizás sea muy arriesgado afirmar algo así por la fecha de compilación. También se une como indicio el hecho de que algunos dominios usados para contactar estaban registrados en 2010. Esa fecha parece más realista.

La gran variedad de módulos viene explicada porque muchos estaban altamente personalizados para sus víctimas. Los atacantes programaban incluso algunos específicos para una víctima en concreto, que identificaban con un ID (enviado a sus C&C) junto con la información robada.

Esto es lo que le da un carácter diferente y "personal" al malware. Una especie de "dedicación exclusiva" a unos pocos cientos de usuarios infectados, que identificaban con sus IDs y para los que incluso programaban módulos específicos y los lanzaban en forma de tareas no persistentes.

Continuamos en una segunda entrega.

Más información:

The "Red October" Campaign - An Advanced Cyber Espionage Network Targeting Diplomatic and Government Agencies



Sergio de los Santos
Twitter: @ssantosv
Palabras claves , , , ,
publicado por alonsoclaudio a las 01:44 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Agosto 2017 Ver mes siguiente
DOLUMAMIJUVISA
12345
6789101112
13141516171819
20212223242526
2728293031
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» #Phishing masivo a #BancoFrances, #PagoMisCuentas y #Movistar (110 afectados en 4 horas)
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Vulnerabilidad en Youtube permitió borrar cualquier video
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
15 Comentarios: lucia, wilson, spider hackers, [...] ...
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
1 Comentario: carlos lopez
» Analizando el LiveBox 2.1 de Orange
2 Comentarios: Nadie, brahim
» Antenas WiFi de gran potencia. Enlaces a 1.000 Km.
2 Comentarios: julio enoy, julio enoy
» Cómo liberar software – guía para principiantes :)
1 Comentario: seo plugin
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad