La caza del Octubre Rojo

1

El ataque del Octubre RojoLos laboratorios de Karspersky acaban de hacer un hallazgo sin precedentes, destapando la mayor campaña de ciber-espionaje que se recuerda en el mundo de la informática. Se llamaría, al igual que el clásico de Hollywood, “Octubre Rojo”.

Kaspersky ha destapado una muestra más de un fenómeno que se vuelve habitual. En este caso hablamos de espionaje a nivel inter-estatal, afectando también a grupos políticos e instituciones de investigación. La distribuidora de software antivirus ha trabajado en conjunto con importantes “Cyber Emergency Response Teams” (CERTs) como los que destaparon el famoso “Flame” que tratamos hace algunos meses.

También conocido como “Rocra“, Octubre Rojo ha centrado su foco sobre países de europa del este, antiguas repúblicas soviéticas y países del Asia central. Han explicado como el malware ha estado sustrayendo información e inteligencia de dispositivos móviles, ordenadores y redes distribuidas a nivel global por un período de al menos cinco años y que aun permanece activo. Los datos son recopilados y distruibuidos a un sin fin de servidores con un nivel de sofisticación que rivaliza con las peores amenazas conocidas hasta ahora.

MÉTODO DE INFECCIÓN

El malware se distribuye a través de emails que realizan un ataque spear-phishing con objetivos cuidadosamente seleccionados dentro de la organización por su nivel de vulnerabilidad. Hay archivos adjuntos que contienen al menos tres vulnerabilidades conocidas en la suite de Microsoft Office (excel, word) Una vez abiertos los archivos adjuntos, se descarga un troyano al equipo que escanea la red afectada para localizar más equipos con la misma vulnerabilidad.

El malware también descarga un gran número de módulos, generalmente librerías .dll que pueden completar diversas tareas por sí mismas. De esta forma, obedeciendo órdenes del centro de comandos que lo maneja, borra toda evidencia que pueda indicar su existencia. Aparte de los módulos que ejecutan una única tarea, algunos permiten ejecutar tareas persistentes, lo que implica diversas formas de espionaje:

– A la espera de un documento de Office o PDF, inyectando código en el documento.

– Creando canales de comunicación encubiertos de un sólo sentido.

– Grabando pulsaciones de teclas, tomando capturas de pantalla.

– Difundiendo mensajes de email o archivos adjuntos.

– Recolentando información de hardware o software en la máquina.

– Recolectando información del historial en los navegadores: Explorer, Firefox, Opera y Chrome, también consiguiendo sus passwords.

– Extrayendo información de hashes de cuentas de usuario en Windows.

– Vulnerando la información de cuentas de usuarios en Outlook.

– Realizando escaneos de red, se recopilan los archivos “dump” de configuración de dispotivos Cisco si es posible.

Algunas tareas .exe quedarán a la espera de que se produzca una situación propicia, por ejemplo la conexión de un móvil. Se ha demostrado que los smartphones de Microsoft Windows Phone, Apple y Nokia son vulnerables.

El malware Octubre Rojo también es capaz de recopilar archivos cifrados, que no se libran de estar comprometidos. Incluso se encargará de rastrear el disco duro y recuperar archivos ya borrados (el borrado tradicional de Windows no los elimina de la superficie del disco ni sobreescribe esos sectores) Hay algunas características clave que podría sugerir que recibe soporte y despliegue estatal -aunque aún no hay confirmación oficial- que son las siguientes:

  • Existe un “módulo de resurreción“, que mantiene camuflado el malware, este es disfrazado tras un falso plug-in de un programa como Microsoft Office. Dicho módulo permite reencarnar el malware tras su eliminación.
  • Octubre Rojo no se centra sólo en máquinas normales, atendiendo también a dispositivos móviles, discos externos conectados a computadoras y redes FTP.
  • Roba información de bases de datos con direcciones de email.
  • Para controlar la difusión de Octubre Rojo Kaspersky ha estimado que existen más de 60 nombres de dominios a nivel global, en diferentes servidores de diferentes países. De esta forma se ha creado una extensísima red proxy que encubre la verdadera localización e identidad del centro de comando que lo ejecuta.

Octubre Rojo fué puesto bajo la lupa de Kaspersky en Octubre del pasado año debido a una pista recibida de forma anonima por el equipo. Podeís encontrar un reportaje completo (aunque, eso sí muy técnico) en “Red October”. Detailed Malware Description 1. First Stage of Attack. 

Difusión
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR