Enorme ciberataque en un aeropuerto con criptomineros

Enorme ciberataque en un aeropuerto con criptomineros

Una gran infección por criptomineros -en español, programas destinados a obtener criptomonedas silenciosamente usando recursos de nuestro equipo- ha sido detectado en un aeropuerto internacional. ¿Adivinas el responsable? Si, ha sido el IoT, otra vez.

Un malware destinado a «minar» cryptos de tipo XMRig Monero ha conseguido infectar la mitad de los ordenadores del citado aeropuerto.

Este malware era reconocible, pero una modificación en su código fue suficiente para burlar la solución antiviurs existente. Después de la misma, solo 16 de los 73 motores AV de Virustotal eran capaces de reconocerlo.

Dispositivos OT, en el punto de mira por infección masiva

Antes de nada, OT= Operational Technology, en contraposición a IT= Information Technology.

La actividad maliciosa tampoco levantó sospechas entre los empleados del aeropuerto, según se detalla en este análisis. Sobre la modificación:

Fue realmente simple: se modificó el MD5, sin embargo, el atacante mantuvo el uso de las herramientas originales e incluso los nombres de archivo predefinidos, lo que indica una modificación simple, en cualquier caso fue suficiente para burlar la mayoría de los antivirus.

El impacto sobre negocio fue relativamente bajo, se produjeron degradaciones en el servicio y algunas interrupciones, junto a un importante aumento del consumo energético.

Realmente, este malware podría haber estado funcionando así durante meses, inadvertido.

¿Cómo se dieron cuenta?

Realmente, el malware fue divisado por la empresa Cyberbit cuando esta se encontraba instalando una solución de seguridad nueva para el aeropuerto. Se observó la ejecución repetida en poco tiempo de la herramienta nativa de Windows PAExec.

PAExec es una herramienta legítima empleada para ejecutar programas en equipos remotos sin necesidad de instalar el software en ellos. La herramienta ejecuta con ella tenía un nombre sospechoso:

player.exe

Una vez en ejecución, player.exe hacía uso de un mecanismo conocido como «reflective DLL loading», cuya técnica consiste en inyectar remotamente una librería o «DLL» en un proceso de sistema sin usar el cargador de Windows, evitando así tener que acceder al disco duro.

Es decir, que un usuario remoto estaba claramente intentando acceder de forma remota al sistema varias veces.

Posteriormente se llegó a la conclusión de que el atacante estaba forzando la ejecución del malware XMR en modo SYSTEM para que contase con todos los privilegios.

Conclusiones

Este ataque parece haber sido lanzado por un actor con bastantes recursos, algo que se ha mezclado con una falta de seguridad y laxitud en las medidas del aeropuerto.

Un aeropuerto es un entorno muy susceptible a movimientos laterales de los ciberdelincuentes, dado que implementan gran cantidad de sistemas IoT autónomos -por ejemplo, las lineas de transporte de equipajes- que pueden verse alterados en su conjunto, causando grandes problemas a los usuarios.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.