En el Equipo global de investigación y análisis (Global Research and Analysis Team) de Kaspersky rastreamos las actividades que están realizando más de 900 actores y grupos de actividades de amenazas avanzadas. Puede encontrar nuestros análisis trimestrales aquí, aquí y aquí. Para este análisis anual, hemos intentado centrarnos en lo que consideramos las tendencias y novedades más interesantes de los últimos 12 meses. El análisis se basa en nuestra visión del panorama de las amenazas y es importante señalar que ningún proveedor tiene una visión clara y completa de las actividades de todos los actores de amenazas.
Los proveedores del sector privado desempeñan un papel importante en el panorama de las amenazas
Quizá la noticia más importante de 2021 sea la investigación realizada por The Guardian y otros 16 medios de comunicación, publicada en julio, que sugería que más de 30 000 activistas de derechos humanos, periodistas y abogados de todo el mundo podrían haber sido objeto de ataques realizados mediante Pegasus. El informe, llamado Proyecto Pegasus, alegaba que el software utiliza una variedad de exploits, entre ellos varios de día cero para iOS. Basándose en el análisis forense de numerosos dispositivos móviles, el Laboratorio de Seguridad de Amnistía Internacional descubrió que el software se había usado para vigilar a particulares. La lista de personas afectadas incluye a 14 líderes mundiales. Más adelante ese mismo mes, representantes del gobierno israelí visitaron las oficinas de NSO como parte de una investigación sobre las demandas. Y en octubre, el Tribunal Supremo de la India encargó a un comité técnico que investigara si el gobierno había utilizado Pegasus para espiar a sus ciudadanos. En noviembre, Apple anunció que emprendería acciones legales contra NSO Group por desarrollar “programas maliciosos y espías” que tenían como blanco a sus usuarios.
Es muy difícil detectar los rastros de infección de Pegasus y otros programas maliciosos avanzados para móviles debido a las características de seguridad de los sistemas operativos modernos, como iOS y Android. Según nuestras observaciones, esto se complica aún más por el despliegue de malware no persistente, que casi no deja rastros después de reiniciar el dispositivo. Dado que muchos marcos forenses requieren un jailbreak del dispositivo, esto hace que el malware se elimine de la memoria durante el reinicio. Pero ahora se pueden utilizar varios métodos para detectar Pegasus y otros programas maliciosos móviles, por ejemplo, MVT (Mobile Verification Toolkit) de Amnistía Internacional que es gratuito, de código abierto y permite a los tecnólogos e investigadores inspeccionar los teléfonos móviles en busca de signos de infección. MVT se refuerza gracias a una lista de IoC (indicadores de compromiso) elaborada a partir de casos destacados y que Amnistía Internacional ha puesto a disposición del público.
Ataques a la cadena de suministro
En los últimos 12 meses se han producido varios ataques de gran repercusión a la cadena de suministro. El pasado diciembre se informó que SolarWinds, un conocido proveedor de servicios gestionados de TI, había sido víctima de un sofisticado ataque a su cadena de suministro, que afectó a la solución Orion IT de la empresa, que permite supervisar y administrar la infraestructura informática de los clientes. El resultado fue el despliegue de una puerta trasera personalizada denominada Sunburst en las redes de más de 18 000 clientes de SolarWinds, entre los que se encuentran muchas grandes empresas y organismos gubernamentales de Norteamérica, Europa, Oriente Medio y Asia.
No todos los ataques a la cadena de suministro han sido tan sofisticados. A principios de este año, un grupo APT que detectamos como BountyGlad comprometió a una autoridad de certificados en Mongolia y sustituyó el software cliente de administración de certificados digitales por un descargador malicioso. En varios otros incidentes se identificó el uso de infraestructura relacionada con este malware, entre ellos en los ataques contra servidores de los servicios WebSphere y WebLogic en Hong Kong, e instaladores de Flash Player troyanizados en los dispositivos del cliente.
Mientras investigábamos los artefactos de un ataque a la cadena de suministro en el sitio web de una autoridad de certificación gubernamental asiática, descubrimos un paquete troyanizado que data de junio de 2020. Desenredando ese hilo, identificamos que una serie de herramientas posteriores al compromiso eran plugins que se desplegaron mediante el malware PhantomNet, que a su vez se introdujo mediante los paquetes troyanizados antes mencionados. Nuestro análisis de esos plugins reveló similitudes con el malware CoughingDown analizado en ocasiones anteriores.
En abril de 2021, Codecov, proveedor de soluciones de cobertura de código, reveló públicamente que su script Bash Uploader había sido comprometido y distribuido a los usuarios entre el 31 de enero y el 1 de abril. Codevoc distribuye al público el script Bash Uploader, que tiene como objetivo reunir información sobre los entornos de ejecución del usuario, recoger informes de cobertura de código y enviar los resultados a la infraestructura de Codecov. El script comprometido constituye un ataque a la cadena de suministro.
A principios de este año descubrimos dos campañas del grupo Lazarus que utilizaban un clúster actualizado de DeathNote. Nuestra investigación reveló indicios que apuntan a que Lazarus estaba creando capacidades de ataque a la cadena de suministro. En un caso descubrimos que la cadena de infección procedía de un software de seguridad legítimo de Corea del Sur que ejecutaba una carga útil maliciosa; y en el segundo caso, el objetivo era una empresa que desarrollaba soluciones de supervisión de activos, una víctima atípica para Lazarus. Como parte de la cadena de infección, Lazarus utilizó un descargador llamado Racket, que firmó utilizando un certificado robado. El actor comprometió servidores web vulnerables y cargó varios scripts para filtrar y controlar los implantes maliciosos en las máquinas víctimas.
También descubrimos una APT hasta ahora desconocida (suponemos que la crearon personas de habla china), que modificó el paquete de instalación de un software de escaneo de huellas dactilares en un servidor de distribución en un país de Asia oriental. La APT modificó un archivo de configuración y añadió una DLL con laversión .NET de un inyector PlugX al paquete instalador. Los empleados de la administración central del país en cuestión están obligados a utilizar este paquete biométrico para controlar la asistencia. Nos referimos a este incidente en la cadena de suministro y a esta variante particular de PlugX como “Smudge”. El instalador troyanizado parece haber sido implantado en el servidor de distribución desde marzo hasta junio.
La explotación de vulnerabilidades
El 2 de marzo, Microsoft informó de un nuevo actor de APT llamado HAFNIUM, que explota cuatro vulnerabilidades de día cero en Exchange Server en lo que llamaron “ataques limitados y selectivos”. En aquel momento, Microsoft afirmó que, además de HAFNIUM, varios otros actores también las estaban explotando. Paralelamente, Volexity también informó de que las mismas vulnerabilidades de día cero para Exchange estaban en uso a principios de 2021. Según la telemetría de Volexity, algunos de los exploits en uso son compartidos por varios actores, aparte del que Microsoft designa como HAFNIUM. La telemetría de Kaspersky ha detectado un aumento de los intentos de explotación de estas vulnerabilidades después de que Microsoft las revelara y publicara un parche que las reparaba. Durante la primera semana de marzo, identificamos cerca de 1400 servidores únicos que habían sido objeto de ataques que utilizaron una o más de estas vulnerabilidades para obtener el acceso inicial. Según nuestra telemetría, la mayoría de los intentos de explotación se observaron en servidores de Europa y Estados Unidos. Algunos de los servidores fueron atacados varias veces, al parecer por diferentes actores de amenazas (a juzgar por los patrones de ejecución de comandos), lo que sugiere que los exploits estaban a disposición de varios grupos.
También descubrimos una campaña activa desde mediados de marzo dirigida a entidades gubernamentales de Europa y Asia que utiliza los mismos exploits de día cero para Exchange. Esta campaña hizo uso de una familia de malware desconocida hasta entonces, que denominamos FourteenHi. Investigaciones posteriores revelaron rastros de actividad con variantes de este malware que se remontan a un año atrás. En estos conjuntos de actividades también encontramos algunas coincidencias con HAFNIUM en términos de infraestructura y TTP, así como el uso del malware ShadowPad durante el mismo período de tiempo.
El 25 de enero, Google Threat Analysis Group (TAG) anunció que un actor de amenazas patrocinado por un gobierno había atacado a los investigadores de seguridad. Según el blog de Google TAG, este actor utilizó una ingeniería social muy sofisticada: se puso en contacto con investigadores de seguridad a través de las redes sociales y les envió un archivo de proyecto de Visual Studio comprometido o los atrajo a su blog, donde les esperaba un exploit para Chrome. El 31 de marzo, Google TAG publicó nuevos datos sobre esta actividad, que mostraban otra oleada de perfiles falsos en las redes sociales y una empresa que el actor creó a mediados de marzo. Constatamos que varias infraestructuras del blog tenían puntos en común con algunos fenómenos descritos en el informe que publicamos sobre el clúster ThreatNeedle, del grupo Lazarus. Además, el malware mencionado por Google coincidía por su descripción con ThreatNeedle, un malware que llevamos rastreando desde 2018. Mientras investigaba la información asociada, un colega investigador externo confirmó que también se vio afectado por este ataque, y nos proporcionó información para que la investigáramos. Después de descifrar los datos de configuración del host afectado descubrimos servidores C2 adicionales. Los servidores estaban activos durante nuestra investigación, y pudimos obtener datos adicionales relacionados con el ataque. Llegamos a la conclusión de que la infraestructura publicada no sólo se utilizó para los ataques contra los investigadores de seguridad, sino también en otros ataques realizados por Lazarus. Durante nuestra investigación, encontramos un número relativamente grande de hosts que se comunicaban con los servidores C2.
Al ampliar nuestra investigación sobre el exploit para la vulnerabilidad CVE-2021-1732, descubierto por el Centro de Inteligencia de Amenazas de DBAPPSecurity y utilizado por el grupo Bitter APT, descubrimos otro posible exploit de día cero que se utiliza en la región de Asia-Pacífico (APAC). Un análisis posterior reveló que este exploit de escalada de privilegios (EoP) se habría utilizado en el mundo real desde al menos noviembre de 2020. Informamos a Microsoft de este nuevo exploit en febrero. Tras confirmar que se trataba de un nuevo exploit de día cero, le asignó la denominación CVE-2021-28310. Varias marcas y artefactos dejados en el exploit nos confirmaron que CVE-2021-1732 y CVE-2021-28310 fueron creados por el mismo desarrollador de exploits que rastreamos como Moses. Al parecer, este desarrollador de exploits los pone a disposición de varios actores de amenazas, a juzgar por otros exploits anteriores y los actores que los utilizan. Hasta la fecha, hemos confirmado que al menos dos actores de amenazas conocidos han utilizado exploits desarrollados por Moses: Bitter APT y Dark Hotel. Basándonos en señales y artefactos similares, así como en información privada obtenida de terceros, creemos que al menos seis vulnerabilidades observadas en el mundo real en los últimos dos años tienen su origen en Moses. Aunque el exploit EoP se descubrió en el mundo real, no pudimos relacionar directamente su uso con ningún actor de amenaza conocido que estemos rastreando en este momento. Es probable que el exploit EoP haya sido encadenado a otros exploits para navegadores para escapar de las “sandbox” y obtener privilegios de sistema para un mayor acceso. Desafortunadamente, no pudimos capturar una cadena de exploits completa, por lo que no sabemos si el exploit se utiliza con otro exploit de día cero para navegadores, o si se combina con exploits que se aprovechan de vulnerabilidades ya conocidas y parcheadas.
Los días 14 y 15 de abril, las tecnologías de Kaspersky detectaron una oleada de ataques selectivos dirigidos a varias empresas. Un análisis más detallado reveló que todos estos ataques sacaban provecho de una cadena de exploits de día cero para Google Chrome y Microsoft Windows. Aunque no pudimos obtener el exploit utilizado para la ejecución remota de código (RCE) en el navegador web Chrome, pudimos encontrar y analizar un exploit de EoP utilizado para escapar de la “sandbox” y obtener privilegios de sistema. Este exploit de EoP funciona en las últimas y más destacadas versiones de Windows 10 (17763 – RS5, 18362 – 19H1, 18363 – 19H2, 19041 – 20H1, 19042 – 20H2), y explota dos vulnerabilidades distintas del kernel del sistema operativo Microsoft Windows. Informamos de estas vulnerabilidades a Microsoft, que les asignó el identificador CVE-2021-31955 a la vulnerabilidad de divulgación de información y CVE-2021-31956 a la vulnerabilidad para EoP. Ambas vulnerabilidades fueron parchadas el 8 de junio, como parte del “Martes de parches” de junio. La cadena de exploits intenta instalar malware en el sistema mediante un dropper. El malware se inicia como un servicio del sistema y carga la carga útil, un backdoor del tipo “shell remoto”, que a su vez se conecta al C2 para obtener instrucciones. Como no pudimos encontrar ninguna conexión o solapamiento con un actor conocido, le dimos a este grupo de actividades el nombre de PuzzleMaker.
Por último, a finales de este año, detectamos una oleada de ataques que utilizaban un exploit de elevación de privilegios que afectaba a los sistemas operativos Windows para servidores. Tras un análisis más detallado, resultó ser una vulnerabilidad de día cero “use-after-free” en Win32k.sys, que reportamos a Microsoft y que fue luego solucionada mediante el parche CVE-2021-40449. Analizamos el malware asociado, bautizado como cluster MysterySnail y encontramos solapamientos de infraestructura que lo vinculan con la APT IronHusky.
Vulnerabilidades de firmware
En septiembre, ofrecimos un análisis general del implante FinSpy para PC, que abarcaba no sólo la versión para Windows, sino también las versiones para Linux y macOS. El tristemente famoso FinSpy es un conjunto comercial de herramientas de vigilancia que se utiliza con fines de “vigilancia legal”. A lo largo del tiempo, varias ONG han denunciado que se lo ha usado contra periodistas, disidentes políticos y activistas de derechos humanos. Su implante en Windows estaba representado por un instalador de spyware de una sola etapa; y esta versión fue detectada e investigada varias veces hasta 2018. Desde entonces, hemos observado una tasa de detección decreciente de FinSpy para Windows. Mientras que la naturaleza de esta anomalía sigue siendo desconocida, empezamos a detectar algunos paquetes instaladores sospechosos que contenían stagers de Metasploit como puerta trasera. No pudimos atribuir estos paquetes a ningún actor de amenazas hasta mediados de 2019, cuando encontramos un host que ponía estos instaladores entre los implantes FinSpy Mobile para Android. Durante nuestra investigación, descubrimos que los instaladores ocultos no son más que implantes de primera etapa que se utilizan para descargar e instalar otras cargas útiles antes que el troyano FinSpy propiamente dicho. Aparte de los instaladores troyanizados, también detectamos infecciones que implicaban el uso de un bootkit para UEFI o MBR. Aunque la infección para MBR se conoce desde al menos 2014, los detalles sobre el bootkit para UEFI se revelaron por primera vez en un informe de nuestra autoría.
Hacia el final del tercer trimestre, identificamos una nueva carga útil con capacidades avanzadas, que se enviaba mediante dos cadenas de infección a varias organizaciones gubernamentales y empresas de telecomunicaciones de Oriente Medio. La carga útil hace uso de un rootkit en modo kernel de Windows para facilitar algunas de sus actividades y es capaz de instalarse de forma persistente a través de un bootkit para MBR o UEFI. Resulta curioso que algunos de los componentes observados en este ataque hayan sido cargados anteriormente en la memoria por el agente de Slingshot en múltiples ocasiones. Slingshot es un marco de post-explotación que hemos ya analizado en varios casos (no confundir con la APT Slingshot). Es más conocida por ser un kit de herramientas de pruebas de penetración comercial diseñado para comprometer equipos rojos. Sin embargo, no es la primera vez que los atacantes parecen haberlo aprovechado. Uno de nuestros informes de 2019 sobre las actividades de FruityArmor mostraba que el grupo de amenazas utilizaba el marco para apuntar a varias industrias en Oriente Medio, posiblemente aprovechando como vector de infección un exploit desconocido en una app de mensajería. En un reciente informe de inteligencia privada, hicimos un análisis detallado del recién descubierto conjunto de herramientas maliciosas que observamos junto con Slingshot y cómo se lo aprovechó en grupos de actividades en el mundo real. En particular, describimos cómo se usaron algunas de sus características avanzadas en una actividad de larga duración contra un objetivo diplomático de alto perfil en el Medio Oriente.
Análisis anual de las APT 2021