Informe anual de APTs: a qué se dedicaron los delincuentes en 2020

Kaspersky Lab realiza un seguimiento de las actividades de más de 900 agentes de amenazas. Puede encontrar nuestros informes trimestrales aquí, aquí y aquí. En este informe anual detallamos las tendencias y novedades que consideramos más interesantes de los últimos 12 meses. Está basado en nuestra visión del panorama de amenazas virtuales; y es importante recalcar que ningún proveedor tiene una visión completa de todas las actividades y todos los agentes de amenazas que existen.

Más allá de Windows

Aunque Windows sigue atrayendo a la mayoría de los agentes de Ataques Persistentes Avanzados (APTs), este año también hemos visto amenazas dirigidas a otras plataformas y sistemas operativos. El año pasado informamos sobre un framework de malware llamado MATA, que atribuimos a Lazarus: este framework incluía varios componentes, como un cargador, un coordinador y varios complementos. En abril nos enteramos de que MATA se había expandido más allá de Windows y Linux para incluir a macOS en sus ataques. Los desarrolladores de malware troyanizaron una aplicación de código abierto para la autentificación de dos factores y usaron la plantilla de otra aplicación de código abierto. Es decir, Lazarus no se limitó al framework MATA para atacar a macOS. También encontramos varias actividades vinculadas con la Operación AppleJeus. Además descubrimos malware similar al que se usó en la operación que llamamos TangDaiwbo, que también estaba dirigida a macOS; ésta es una operación multi-plataforma de intercambio de monedas criptográficas: Lazarus utiliza documentos Office incrustados con macros para propagar PowerShell o malware de macOS, dependiendo del sistema de la víctima.

Kaspersky ha documentado y expuesto a la familia Penquin, y rastreó sus antecedentes hasta sus antepasados Unix en la operación Moonlight Maze de la década de 1990. Cuando los investigadores de Leonardo publicaron en mayo un informe sobre “Penquin_x64” —una variante hasta entonces desconocida de la puerta trasera Penquin GNU/Linux de Turla—, nosotros complementamos esta investigación con sondeos de red que detectan hosts infectados con Penquin_x64 a escala, lo que reveló que decenas de servidores de Internet en Europa y Estados Unidos todavía están comprometidos. Creemos que es posible que, tras la divulgación pública de las herramientas GNU/Linux de Turla, el agente de la amenaza haya cambiado el propósito de Penquin para que realice operaciones que van más allá de las de inteligencia tradicionales.

En nuestro Informe de tendencias de APTs del tercer trimestre de 2020, advertimos sobre una campaña que denominamos “TunnelSnake”. Cuando analizábamos la actividad en esta campaña, pudimos poner al descubierto las estrategias de descubrimiento de red y las herramientas de movimiento lateral que el agente de amenazas empleaba después de desplegar el rootkit ‘Moriya’. También observamos que el agente empleaba las herramientas de código abierto “Earthworm” y “Termite”, que le permitían generar un shell remoto y canalizar el tráfico entre servidores. Estas herramientas pueden operar en varias arquitecturas que se usan con frecuencia en dispositivos del Internet de las Cosas, lo que demuestra que los atacantes estaban listos para volcar su atención hacia esos dispositivos.

Infección del firmware UEFI

Mientras investigábamos una campaña selectiva, encontramos un imagen de firmware UEFI con componentes maliciosos que descargaban un programa nocivo que al momento era desconocido. Nuestro análisis reveló que los módulos de firmware que se habían descubierto se basaban en un conocido bootkit llamado Vector-EDK, y el malware que instalaba era un descargador de más componentes. Al profundizar sobre las características únicas del malware, encontramos ejemplares similares de nuestra telemetría que se habían utilizado contra diplomáticos desde 2017 y con diferentes vectores de infección. Si bien la mayor parte tiene una lógica comercial idéntica, algunos tenían características adicionales o diferentes formas de implementación. Por eso llegamos a la conclusión de que la mayor parte de los ejemplares tienen origen en un framework más grande que llamamos MosaicRegressor. Los blancos de los ataques, que son en su mayoría instituciones diplomáticas y ONGs en Asia, Europa y África, parecen estar vinculados de alguna manera con Corea del Norte.

Implantes para dispositivos móviles

Ya no es ninguna novedad que los agentes de APTs hagan uso de implantes para dispositivos móviles: este año hemos visto varios grupos de ciberdelincuentes que dirigían sus ataques a plataformas móviles.

En enero, descubrimos un ataque de abrevadero que utilizaba una cadena de exploits de iOS completamente remota. Parece que este sitio fue diseñado para atacar a usuarios de Hong Kong, a juzgar por el contenido de la página de destino. Aunque los exploits que se están utilizando son conocidos, el agente de la amenaza está modificando el paquete de exploits para que funcione en más versiones y dispositivos de iOS. Las últimas modificaciones que vimos se dieron el 7 de febrero. El proyecto resultó ser más amplio de lo que creíamos, ya que sustenta un implante de Android y es posible que también tenga implantes para Windows, Linux y macOS. Le dimos a este grupo de APTs el nombre de TwoSail Junk. Creemos que es un grupo de habla china; mantiene la mayor parte de su infraestructura dentro de Hong Kong y tiene un par de hosts en Singapur y Shanghai. TwoSail Junk utiliza enlaces en discusiones del foros o en hilos de conversación propios para dirigir a los visitantes a los sitios que contienen sus exploits. Hasta la fecha, se registraron decenas de visitas dentro de Hong Kong y un par en Macao. Los detalles técnicos sobre la funcionalidad del implante iOS, llamado LightSpy, y la infraestructura relacionada, indican que el agente de la amenaza es de capacidad baja a media. Sin embargo, el implante de iOS es un framework de vigilancia de iOS modular y muy funcional.

En agosto, publicamos el segundo informe sobre las actividades recientes del agente de la amenaza Transparent Tribe. Ellas incluían un implante de Android que el grupo usaba para espiar dispositivos móviles. Una de sus formas de distribución fue camuflar la amenaza como la aplicación de rastreo de COVID-19 “Aarogya Setu”, desarrollada por el gobierno de la India. La aplicación falsa se utilizó para atacar al personal militar de India y, según información pública, puede que se haya distribuido a través de enlaces maliciosos en WhatsApp, SMS, correos electrónicos y redes sociales.

En junio estuvimos observando un nuevo grupo de descargadores maliciosos de Android que, según nuestra telemetría, se habían estado utilizando en la red al menos desde diciembre de 2019 y formaban parte de una campaña dirigida de forma casi exclusiva a usuarios de Pakistán. Los autores propagan el malware imitando a Chat Lite, Kashmir News Service y otras aplicaciones regionales legítimas de Android. Un informe de la Junta Nacional de Seguridad de las Telecomunicaciones y Tecnologías de la Información (NTISB) publicado en enero indica que el malware comparte los mismos servidores de administración y falsifica las mismas aplicaciones legítimas: según esta publicación, los ataques estaban dirigidos a cuerpos militares paquistaníes y se distribuían mediante mensajes de WhatsApp, SMS y correos electrónicos. Nuestra telemetría muestra que el programa también se propaga a través de la aplicación de mensajería Telegram. Al analizar el conjunto inicial de descargadores encontramos otro grupo de troyanos que creemos están relacionados, ya que utilizan el nombre del paquete que se menciona en los descargadores y dirigen sus ataques hacia grupos similares. Estos nuevos ejemplares tienen códigos muy parecidos a los que se atribuían a Origami Elephant.

La caza mayor

En abril publicamos una advertencia temprana sobre el ransomware VHD, que se detectó por primera vez a fines de marzo. Este ransomware se destacaba por su método de autorreplicación. La herramienta de propagación que usaban, que tenía una compilación de credenciales de víctimas específicas, nos recordaba a campañas de APT, pero no podíamos vincular la amenaza con ningún grupo existente. Pero sí pudimos identificar un incidente en el que se usó el ransomware VHD, junto con las herramientas conocidas de Lazarus, contra empresas en Francia y Asia. Esto indica que Lazarus está detrás de las campañas de ransomware VHD que se han documentado hasta ahora. Hasta donde sabemos, esta es la primera vez que se confirma que el grupo Lazarus ha recurrido a ataques de ransomware dirigidos (conocidos como “caza mayor”) para ganar dinero.

Denuncias públicas

Hace algunos años pronosticamos que los gobiernos recurrirían al “tribunal de la opinión pública” como estrategia para visibilizar las actividades de grupos hostiles de APTs, y esta tendencia se ha desarrollado durante el último año.

En febrero, el Departamento de Justicia de EE. UU. (DoJ) acusó a cuatro militares chinos de fraude informático, espionaje económico y fraude electrónico por dirigir un ciberataque a la agencia de informes crediticios Equifax en 2017. Al mes siguiente, el Departamento de Justicia formuló cargos contra dos ciudadanos chinos por lavar más de 100 millones de dólares en criptomonedas para Corea del Norte. La imputación alegaba que los acusados lavaron criptomonedas que habían sido robadas por ciberdelincuentes norcoreanos entre diciembre de 2017 y abril de 2019 para esconder el dinero de la policía.

En mayo, el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) y el Departamento de Seguridad Nacional de los Estados Unidos (DHS) emitieron una advertencia conjunta sobre una investigación que estaban realizando a una serie de ciberataques vinculados con otros gobiernos y dirigidos a compañías farmacéuticas, organizaciones de investigación médica y universidades para recolectar inteligencia y datos, incluyendo los relacionados con investigaciones sobre el COVID-19. El FBI y la CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad) también emitieron una advertencia sobre agentes de amenazas vinculados con la República Popular de China, que habían estado dirigiendo ataques a organizaciones estadounidenses involucradas en investigaciones del COVID-19.

El 30 de julio, el Consejo Europeo anunció que impondría sanciones contra seis personas y tres entidades que creía que eran responsables o estaban involucradas en varios ciberataques, incluyendo la tentativa de ataque a la Organización para la Prohibición de las Armas Químicas (OPAQ)y los de WannaCry, NotPetya y Operation Cloud Hopper. Las sanciones incluyen la prohibición de viajar y la congelación de activos. Además, los individuos y entidades de la Unión Europea tienen prohibido poner fondos a disposición de los sancionados.

En septiembre, el Departamento de Justicia de los Estados Unidos emitió tres imputaciones a ciberdelincuentes con supuestas conexiones con APT41 y otras intrusiones como Barium, Winnti, Wicked Panda y Wicked Spider. Además, dos ciudadanos de Malasia también fueron arrestados el 14 de septiembre en Sitiawan (Malasia) por “conspirar para monetizar las intrusiones informáticas dirigidas a la industria de los videojuegos”, tras una operación conjunta entre el Departamento de Justicia de los Estados Unidos y el gobierno de Malasia, incluidas la Fiscalía General de Malasia y la Policía Real de Malasia. Las acusaciones contienen varios Indicadores de Compromiso indirectos que nos permitieron conectar estas intrusiones con la Operación ShadowPad y la Operación ShadowHammer, dos ataques masivos de cadena de suministro que descubrimos e investigamos.

En octubre, el Departamento de Justicia de Estados Unidos acusó a seis militares de la inteligencia rusa de haber participado en una serie de ataques cibernéticos, incluidos NotPetya, los ataques de Olympic Destroyer en los Juegos Olímpicos de Invierno de 2018 y ataques que afectaron a Francia, Georgia, los Países Bajos, Ucrania y la investigación de los envenenamientos por Novichok en el Reino Unido en 2018. El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) también acusó al servicio de inteligencia militar GRU de Rusia de haber participado en ataques a funcionarios y organizaciones involucradas en los juegos de Tokio 2020, antes de que se postergaran.

Con que funcione es suficiente

El malware que los agentes de amenazas desarrollan no siempre necesita tener un alto grado de sofisticación técnica para ser efectivo. Las actividades de DeathStalker son un buen ejemplo de ello. Se trata de un agente amenazas único que centra sus ataques en bufetes de abogados y empresas que operan en el sector financiero. El interés del grupo por recopilar información confidencial de las compañías nos lleva a creer que DeathStalker está compuesto por un grupo de mercenarios que alquilan sus servicios de piratería o que actúan como traficantes de información en los círculos financieros. Comenzamos a prestarle atención a las actividades de este agente cuando analizábamos un implante basado en PowerShell llamado Powersing. Este trimestre, desentrañamos cómo funciona el flujo de trabajo de las intrusiones de Powersing basadas en LNK de DeathStalker. El grupo sigue usando y desarrollando este implante; emplea tácticas que no han cambiado mucho desde 2018, mientras aumenta sus esfuerzos para evadir su detección. En agosto, nuestro informe público de las actividades de DeathStalker resumió las tres cadenas de herramientas basadas en lenguajes de programación utilizadas por el grupo: Powersing, Janicab y Evilnum.

Tras nuestro informe inicial privado sobre Evilnum, detectamos un nuevo grupo de implantes a finales de junio de 2020, que contenía cambios interesantes en el modus operandi de DeathStalker, malware que hasta ahora había sido bastante estático. Por ejemplo, el malware se conecta directo a un servidor de administración (C2) mediante una dirección IP o nombre de dominio que tiene integrado, a diferencia de las variantes anteriores, que usaban al menos dos sitios web intermediarios (conocidos como Dead Drop Resolvers o DDR) donde se almacena información que no está incorporada en el virus; o mediaban la conexión a través de servicios web –como foros y plataformas de intercambio de códigos– para conseguir el dominio o dirección IP real del servidor de administración. Lo interesante es que durante esta campaña los atacantes no se limitaron a enviar correos fraudulentos, sino que le dieron un rol activo a las víctimas al enviarles varios correos electrónicos que las persuadían para que abran el señuelo y faciliten el ataque. Es más, no sólo usaron implantes basados en versiones viejas y nuevas de Python para irrumpir en los sistemas, también fue la primera vez que vimos que descargaban binarios PE como etapas intermedias para cargar Evilnum, mientras usaban técnicas avanzadas para evadir los productos de seguridad.

También encontramos otro implante complejo y de baja tecnología que se comenzó a utilizar en el segundo trimestre de 2020, y no dudamos en atribuírselo a DeathStalker. Para hacer llegar la amenaza a sus blancos, utiliza un documento de Microsoft Word y descarga un implante de PowerShell que era desconocido, y se basa en DNS sobre HTTPS (DoH) como canal C2. A este implante lo llamamos PowerPepper. En octubre de 2020 identificamos nuevos ejemplares del conjunto de herramientas PowerPepper de DeathStalker que contenían mejoras, como técnicas perfeccionadas de detección de cajas de arena. El grupo también aprovechó una nueva cadena de infecciones para propagar PowerPepper.

DeathStalker es un buen ejemplo de lo que pueden lograr los grupos pequeños o individuos capacitados sin necesidad de usar trucos innovadores o métodos sofisticados. DeathStalker debería ser la vara con la que se miden las capacidades de defensa de las organizaciones en el sector privado, ya que este tipo de grupos representa las amenazas cibernéticas que las empresas están más propensas a enfrentar. Recomendamos que presten mucha atención a cualquier creación de procesos vinculados con intérpretes nativos de Windows para lenguajes script como powershell.exe y cscript.exe: siempre que sea posible, se deben deshabilitar estas herramientas. La capacitación para concientizar sobre seguridad y las evaluaciones de productos de seguridad también debería incluir información sobre cadenas de infección basadas en archivos LNK.

Amenazas relacionadas con el COVID-19

A raíz de la pandemia del COVID-19 y el consecuente aislamiento que se impuso en muchos países, todo tipo de atacantes buscaron formas de beneficiarse con el temor de la gente hacia la enfermedad. La mayoría de las estafas de phishing relacionadas con el COVID-19 han sido impulsadas por ciberdelincuentes que utilizan la enfermedad para ganar dinero. Sin embargo, la lista de atacantes también incluye agentes de APTs como Lazarus, Sidewinder, Transparent Tribe, GroupA21 que nosotros observamos lanzando ataques con el tema del COVID-19 para llamar la atención de sus víctimas potenciales, como también lo hicieron Kimsuky, APT27, IronHusky y ViciousPanda según OSINT (inteligencia de código abierto). En marzo, descubrimos una infraestructura sospechosa que podría haber sido utilizada para atacar a organizaciones humanitarias y de salud, incluida la OMS. La amenaza se registró antes de la crisis del COVID-19 y no logramos atribuirla con certeza a ningún agente, pero algunas fuentes privadas sugirieron que podría estar relacionada con DarkHotel.

Pocos meses después hubo una serie de ataques a centros de supercomputación en Europa, incluyendo el de ARCHER con sede en el Reino Unido, el de bwHPC con sede en Alemania y el Centro Nacional de Supercomputación de Suiza. El Equipo de Respuesta a Incidentes y Seguridad Informática de EGI (EGI-CSIRT) también publicó una alerta en mayo sobre dos incidentes que, según su informe, podrían estar relacionados, aunque no hay certeza de ello. A pesar de que no pudimos confirmar que el ataque a ARCHER y los incidentes descritos por EGI-CSIRT estén vinculados, sospechamos que podrían estarlo. Algunos medios de comunicación especularon que todos estos ataques podrían estar relacionados con la investigación de COVID-19 que se está llevando a cabo en los centros de supercomputación.

Tras la publicación de nuestro informe inicial sobre WellMess (consulte nuestro Informe de tendencias APT del segundo trimestre de 2020), el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) publicó una advertencia junto con los gobiernos de Canadá y Estados Unidos sobre la actividad más reciente de esta amenaza. Los tres gobiernos atribuyen a The Dukes (también conocido como APT29 y Cozy Bear) el uso de este malware para interceptar las investigaciones sobre la vacuna del COVID-19. Si bien la publicación del aviso del NCSC aumentó la conciencia del público sobre el malware que se había estado usando en los ataques recientes, las declaraciones de los tres gobiernos no proporcionaron evidencias claras para que otros investigadores pudieran profundizar en estas acusaciones y confirmarlas. Por esta razón, aun creemos que la actividad de WellMess fue realizada por un agente de amenazas que hasta entonces era desconocido.

No creemos que el interés de los agentes de APTs por el COVID-19 sea un cambio significativo para sus técnicas y procedimientos tácticos (TTP): sólo que están aprovechando que es un tema de interés para atraer a sus víctimas.

Conclusiones

Continuaremos investigando las actividades de los actores de amenazas APT y los mantendremos al tanto de los hallazgos más interesantes. Pero si quiere obtener más información sobre lo que los grupos de amenazas más sofisticados del mundo están haciendo, escríbanos a intelreports@kaspersky.com.