Blue Coat explica las características del malware “Inception”

16 Dic 2014 en Las Agencias Informan

Investigadores de los laboratorios de Blue Coat han identificado la aparición de un ataque previamente indocumentado con fines muy concretos de accesar  y extraer información confidencial de los  ordenadores de las víctimas. Debido a las muchas capas utilizadas en el diseño de los programas maliciosos, se le ha nombrado ¨Inception¨, u origen en español,  haciendo referencia a la película de Leonardo DiCaprio en la que un ladrón entra en sus sueños para robar sus secretos del subconsciente.

 

Los objetivos incluyen individuos en posiciones estratégicas: Ejecutivos de empresas importantes como el petróleo, las finanzas y la ingeniería, oficiales militares, personal de la embajada y funcionarios del gobierno. Los ataques ¨Inception¨ comenzaron centrándose en objetivos situados sobre todo en Rusia o relacionados con los intereses de Rusia, pero desde ya  se han extendido a  otros lugares del mundo. El método de entrega de malware preferido es a través de correos electrónicos de phishing que contienen documentos troyanizados.

El mando y Control del tráfico en la plataforma Windows se realiza indirectamente a través de un proveedor de servicios cloud sueco utilizando el protocolo WebDAV. Esto oculta la identidad del atacante y puede pasar por alto muchos mecanismos de detección actuales.

Los atacantes han añadido otra capa de indirección para enmascarar su identidad mediante el aprovechamiento de una red de proxy compuesta por routers, la mayoría de los cuales están basados en Corea del Sur, para su comunicación de comando y control. Se cree que los atacantes fueron capaces de comprometer estos dispositivos basados en configuraciones pobres.

Está claro que los atacantes tienen la intención de permanecer ocultos.

El ataque sigue evolucionando. Los investigadores del laboratorio de Blue Coat han encontrado recientemente que los atacantes también han creado programas maliciosos para Android, BlackBerry y dispositivos iOS para recopilar información de las víctimas. Hasta la fecha, Blue Coat ha observado más de 60 proveedores de servicios móviles, como China Mobile, O2, Orange, SingTel, T-Mobile y Vodafone, que han sido comprometidos, pero el número real es probablemente mucho más alto.

Los investigadores de Blue Coat han descubierto una serie de correos electrónicos de phishing destacando objetivos de la industria por país:

• Finanzas [Rusia]

• Sector de Petróleo [Rumania, Venezuela, Mozambique]

• Embajadas / Diplomacia [Paraguay, Rumania, Turquía]

Antecedentes  

En marzo de 2014, Microsoft publicó información sobre una nueva vulnerabilidad en formato de texto enriquecido (RTF). Esta vulnerabilidad ya fue explotada por los atacantes. A finales de agosto, Blue Coat identificó una operación de espionaje malware para activar la ejecución de la carga maliciosa, y que aprovechó un servicio de nube sueco, CloudMe, como la columna vertebral de su toda la infraestructura visible.

Cuando Blue Coat notificó a CloudMe.com sobre el abuso de sus servicios, CloudMe proporcionó investigación adicional, incluyendo una gran cantidad de información de registro relacionada con el ataque. Cabe señalar que el servicio CloudMe no se está extendiendo activamente el contenido malicioso; los atacantes sólo lo utilizan para almacenar sus archivos.

 

 

¿Cómo funciona el ataque ¨Inception¨?

  • Los atacantes se dirigen a personas en posiciones estratégicas mediante el envío de correos electrónicos con documentos que infectarán sus sistemas cuando se abren.
  • Cuando el usuario hace clic en el documento, un documento de Word se abre y el software se instala y se ejecuta en segundo plano.
  • El malware recoge información del sistema desde la máquina infectada, incluyendo la versión del sistema operativo, nombre del equipo, nombre de usuario, la pertenencia a grupos de usuarios, el proceso en donde se  está ejecutando , ID´s locales , así como la unidad del sistema y el volumen de la información.
  •  Toda la información del sistema es encriptada  y enviada a almacenamiento en la nube a través de WebDAV, un protocolo de comunicación utilizado para la edición y gestión de archivos en servidores remotos, que no pasa por muchos mecanismos de detección.

 Conclusión

Es evidente que hay una organización con muchos recursos  y muy profesional detrás de estos ataques ¨Inception¨, con objetivos precisos e intenciones que podrían expandirse y ser muy perjudiciales.  El complejo ataque muestra signos de gran experiencia en automatización y programación, y el número de capas que se utilizan para proteger la carga útil del ataque y para ocultar la identidad de los atacantes es muy avanzada.

La atribución siempre es difícil, y en este caso es extremadamente difícil. En base a las características  del ataque y la focalización de las personas relacionadas en los sectores  político, económico y militar nacional, los atacantes  podrían ser un Estado-nación de tamaño medio, o posiblemente una entidad privada profesional  con  recursos.