“Ataque de regadera” compromete a la Administración Central Tibetana

Un fragmento del código del sitio web de la Administración Central Tibetana redirige a los visitantes que hablan chino a un exploit de Java que descarga una puerta trasera asociada con una APT (Herramienta Avanzada de Empaquetado). Para entrar un poco en contexto, el sitio describe a la organización de la siguiente manera: “… la Administración Central Tibetana (CTA) de su santidad el Dalai Lama es la continuación del gobierno del Tíbet independiente”. La selección de la ubicación del código malicioso no es común, así que indaguemos sobre el caso.

El ataque en sí está cuidadosamente dirigido, ya que un iframe anexado e integrado redirige a los visitantes de “xizang-zhiye(dot)org” (que es la versión en chino del sitio) a un exploit de Java que tiene una puerta trasera con la carga explosiva. Las versiones en inglés y tibetano del sitio web no tienen este iframe integrado como la versión china (por favor, todavía no lo visiten). Por ahora, parece que los pocos sistemas atacados con este código están ubicados en China y los Estados Unidos, aunque es posible que haya más. El exploit de Java que se utiliza es el 212kb “YPVo.jar”(edd8b301eeb083e9fdf0ae3a9bdb3cd6) que archiva, descarga y ejecuta la puerta trasera. El archivo es un ejecutable win32 de 397 kb, “aMCBlHPl.exe” (a6d7edc77e745a91b1fc6be985994c6a), que detectamos como “Trojan.Win32.Swisyn.cyxf”. Las puertas traseras que se detectan con el veredicto Swisyn suelen ser parte de compiladores en cadena (toolchains) relacionados con APT, y este no parece ser la excepción.

El exploit de Java ataca la vieja vulnerabilidad CVE-2012-4681, lo que nos sorprende un poco, pero la usó el responsable de distribuir el CVE-2012-4681 original de día cero, Gondzz.class y Gondvv.class en agosto del año pasado. Puedes ver el código exploit 4681 en la imagen de arriba, así como códigos que configuran SecurityManager a cero para desactivar las revisiones de regulaciones de Java y después ejecutar el método Payload.main. El método Payload.main tiene capacidades interesantes y simples que hacen que el atacante pueda descargar la carga explosiva sobre https y decodificarla con AES usando las bibliotecas criptográficas integradas de AES, pero en este caso el paquete no está configurado para usar el código. En vez de eso, un par de líneas en su archivo de configuración hacen que el exploit descargue y ejecute el recurso ejecutable win32 del archivo jar. La mayoría de los antivirus detectan la puerta trasera en sí misma como variantes de programas ladrones de contraseñas de juegos, pero esta teoría es incorrecta. Su centro de comando y control se ubica en news.worldlinking.com (59.188.239.46).

Este atacante ha estado operando este tipo de ataques “de regadera” (watering hole) por un par de años como mínimo, además de campañas estándar de ataques dirigidos contra varios blancos, entre los que están los grupos tibetanos. Nuestra comunidad de la Kaspersky Security Network descubrió que las conexiones entre los incidentes pueden rastrearse hasta finales de 2011. También reveló que los exploits de Java relacionados con Apple de este servidor atacan la vulnerabilidad CVE-2013-2423, que es más reciente.