MiniDuke también espía al Gobierno español
El equipo de expertos de Kaspersky Lab ha publicado un nuevo informe de investigación en el que analizan una serie de incidentes de seguridad sobre una vulnerabilidad recientemente descubierta en un exploit de Adobe Reader (CVE-2013-6040) y de un nuevo programa malicioso altamente personalizado, conocido como MiniDuke. El backdoor MiniDuke ha sido utilizado para atacar varias entidades gubernamentales e instituciones de todo el mundo durante la última semana, entre las que también se encuentran algunas de España, tal y como acaban de confirmar los expertos de Kaspersky Lab, en colaboración con CrySys Lab.
Según el análisis de Kaspersky Lab, una serie de objetivos de alto perfil se han visto afectados por los ataques MiniDuke. Entre ellos se encuentran entidades gubernamentales de Ucrania, Bélgica, España, Portugal, Rumania, República Checa e Irlanda. Además, un instituto de investigación, dos centros de estudios, una importante fundación de investigación en Hungría y un proveedor de atención médica de Estados Unidos también se han visto comprometidos.
Ataques de la ‘vieja escuela’
“Este es un ataque cibernético muy inusual”, comenta Eugene Kaspersky, fundador y CEO de Kaspersky Lab. “Recuerdo que este tipo de programas maliciosos se utilizaban desde finales de los 90 hasta comienzos del año 2000. Me pregunto si este tipo de malware, que ha estado en hibernación durante más de una década, ha despertado de repente y se ha unido al sofisticado grupo de amenazas activas en el mundo cibernético. Esta vieja escuela de creadores de malware fueron extremadamente efectivos en el pasado creando virus muy complejos, y ahora se están combinando estas habilidades con nuevos exploits avanzados capaces de evadir las sandbox y cuyo objetivo son entidades gubernamentales o instituciones de investigación de varios países”.
“MiniDuke es un Backdoor altamente personalizado escrito en Assembler y cuyo tamaño es muy reducido, sólo 20kb”, añade Kaspersky. “La combinación de creadores de malware de la vieja escuela, muy experimentados, usando exploits descubiertos recientemente y la ingeniería social inteligente para comprometer los objetivos de alto perfil es extremadamente peligrosa”.
Primeros resultados de la investigación
• Los creadores de MiniDuke aún están enviando ataques y han creado programas maliciosos recientemente, por ejemplo el pasado 20 de febrero de 2013. Para poner en peligro a las víctimas, los ciberdelincuentes utilizaron técnicas de ingeniería social muy eficaces, mediante el envío de documentos PDF maliciosos a sus objetivos. Los archivos PDF contienen un contenido bien elaborado y relevante, como información sobre seminarios de la Organización de los Derechos Humanos, datos de política exterior de Ucrania y planes de los miembros de la OTAN. Estos archivos PDF maliciosos se unieron a exploits que atacaban las versiones de Adobe Reader 9, 10 y 11, sin pasar por su sandbox. Las herramientas utilizadas para crear estos exploits parece que son las mismas que se usaron en un reciente ataque reportado por FireEye. Sin embargo, los exploits usados en los ataques MiniDuke tenían fines diferentes y su propio malware personalizado.
• Una vez que el exploit ha entrado en el sistema, se descarga un pequeño programa en el disco de la víctima con sólo 20kb de tamaño. Este programa es único por sistema y contiene un backdoor personalizado escrito en Assembler. Cuando se carga, al iniciar el sistema, utiliza una serie de cálculos matemáticos para determinar la única huella digital del equipo, y a su vez utiliza estos datos para cifrar sus comunicaciones. También está programado para evitar el análisis de un conjunto de herramientas cifradas de algunos entornos, como VMware. Si localiza alguno de estos indicadores, se ejecutará en ese entorno en lugar de pasar a otra etapa que exponga más su funcionalidad, lo que indica que los creadores del malware saben exactamente lo que los profesionales de la industria de la seguridad TI están haciendo con el fin de analizar e identificar malware.
• Si el sistema al que se dirige cumple con los requisitos predefinidos, el malware usa Twitter (sin el conocimiento del usuario) y empieza a buscar tweets específicos de cuentas previamente creadas. Estas cuentas han sido puestas en marcha por los operadores del Comando&Control MiniDuke (C2). Los tweets usan etiquetas específicas de etiquetado URL cifrado para los backdoors. Estas URL proporcionan acceso a los C2s, que luego aportan posibles comandos y transferencias cifradas de backdoors adicionales en el sistema a través de los archivos GIF.
• Según el análisis, parece que los creadores MiniDuke cuentan con un sistema de backup dinámico que también escapa a la detección. Si Twitter no funciona o las cuentas son ajenas al malware, recurre al buscador de Google para encontrar los enlaces cifrados que le deriven al siguiente C2. Este modelo es flexible y permite a los ciberdelincuentes cambiar constantemente sus backdoors, así cómo recuperar más comandos o código malicioso, según sea necesario.
• Una vez que el sistema infectado localiza el C2, recibe backdoors cifrados que están integrados dentro de los archivos GIF y camuflados en imágenes que aparecen en el equipo de la víctima. Cuando ya está en el equipo, se puede descargar un backdoor más grande que desempeñe acciones básicas como la copia de archivos, mover archivos, eliminar archivos, hacer directorio, terminar procesos y, por supuesto, descargar y ejecutar nuevos programas maliciosos.
• El malware backdoor conecta con dos servidores, uno en Panamá y otro en Turquía, para recibir instrucciones de los cibercriminales.