Miniduke: puerta trasera realiza espionaje gubernamental

0

El pasado día 12 de Febrero de 2013, FireEye anunció el descubrimiento de un ataque zero-day funcionando sobre Adobe Reader, el cual está siendo empleado para descargar una muestra de malware antes desconocida. A este malware se le ha otorgado el nombre de ItaDuke, porque recordaba bastante al funcionamiento del conocido Duqu y porque también se han encontrado adjuntos a su código varios textos extraídos de la “Divina Comedia” de Dante Aligueri.

Desde el primeri anuncio, se han observado algunos nuevos ataques basados en el mismo exploit (CVE-2013-0640) que descargan otro tipo de malware. Entre estos se han descubierto algunos incidentes que son tan inusuales en algunos aspectos, que los laboratorios se han puesto a analizarlos en profundidad.

Kaspersky Labs, junto con uno de sus partners, CrySys Lab, han realizado un detallado análisis de estos incidentes que han puesto de manifiesto la existencia de un actor hasta entonces oculto. Para leer el informe resultante de CrySys Labs haced click [aquí].

Información relevante descubierta

Los atacantes responsables de MiniDuke siguen activos en estos momentos y han creado el malware el 20 de Febrero de 2013. Para comprometer a las víctimas los delincuentes han empleado técnicas de ingeniería social extremadamente refinadas, algunas de las cuales implican el envío de documentos maliciosos en formato PDF a su objetivo. Estos Pdfs tenían un aspecto ciertamente relevante, como información referente a Human Rights Seminar Information (ASEM) así como planes de miembros de la OTAN y aspectos políticos referentes al gobierno ucraniano. 

Estos documentos maliciosos en pdf han sido “armados” con exploits o vulnerabilidades que actúan sobre las versiones 9, 10 y 11 de Adobe Reader, traspasando su entorno seguro o Sandbox.

 – Una vez que el sistema es afectado por el exploit, es descargado un downloader o descargador de malware de tan solo 20 kb en el disco de la víctima. Este descargador o “dropper” es único para cada sistema y contiene una “backdoor” o puerta trasera, la cual está programada en lenguaje “ensamblador” o de bajo nivel. Cuando se carga al inicio del sistema, el dropper ejecuta una serie de cálculos matemáticos para determinar la “firma digital” única de ese equipo y emplearla para encriptar las comunicaciones después.

  Si el sistema objetivo cumple los requerimientos predefinidos por el atacante, el malware empleará Twitter y empezará a buscar tweets específicos de cuentras pre-establecidas. Estas cuentas fueron previamente creadas por los operadores del “C2” o Command and Control de Miniduke. Los tweets mantendrán una serie de palabras específicas que contienen urls encriptadas para las backdoors o “puertas traseras” 

Estas urls o direcciones web proporcionan acceso a los C2, los cuales proporcionarán comandos potenciales y transferencias encriptadas de “puertas traseras” adicionales al sistema por medio de archivos GIF.

 – En base al análisis realizado se tiene la percepción de que los creadores de MiniDuke proporcionan un sistema dinámico de Backup que también es capaz de navegar “bajo el radar”. Si twitter no funcionara o las cuentas no están disponibles, el malware podrá usar Google Search para encontrar las claves encriptadas necesarias para llegar al siguiente C2. Este modelo es áltamente flexible y permite a los operadores cambiar constantemente como sus “backdoors” reciben nuevos comandos o código en caso de necesitarlo.

 – Cuando el sistema infectado localiza el C2 recibe los “backdoors” encriptados, los cuales vienen ofuscados entre los archivos GIF y con la apariencia de imágenes, que es lo que el usuario ve en su ordenador. 

Una vez se han descargado en la máquina, pueden armar una “puerta trasera” mayor, que es la encargada de llevar a cabo las actividades de espionaje. Para ello se valdrá de funciones como: copiar archivos, mover archivos, eliminar archivos, crear directorio, “matar” procesos y, por supuesto, descargar y ejecutar nuevo malware y herramientas colaterales.

 – En la fase final el backdoor se conecta a 2 servidores, uno en Panamá y el segundo en Turquía, desde donde recibe instrucciones de los atacantes.

 – Los atacantes dejaron una pequeña pista en el código, en forma del número “666” (0x29A en formato hexadecimal) antes de una subrutina de desencriptado: 

Analizando los archivos “log” (informes) de los servidores de comando, se han observado 59 víctimas únicas en 23 países:

 – Bélgica, Brasil, Bulgaria, República Checa, Georgia, Alemania, Hungría, Irlanda, Israel, Japón, Letonia, Líbano, Lituania, Montenegro, Portugal, Rumanía, Federación Rusa, Eslovenia, España, Turquía, Ucrania, Reino Unido y los Estados Unidos de América.

Para obtener más detalles del informe y cómo protegerse del ataque, podéis leer -en inglés-:

[The MiniDuke Mystery: PDF 0-day Government Spy Assembler 0x29A Micro Backdoor.PDF]

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR