Bajo fuego APT

Durante la anterior década, los ataques APT se enfocaron intensamente en usuarios corporativos e individuales en toda India. Su creciente desarrollo tecnológico, su ubicación geográfica y sus fronteras, sus características políticas, y su cada vez mayor peso económico hacen de esta nación un blanco atractivo para los ciberdelincuentes. La lista de grupos que lanzan ataques APT contra organizaciones indias, por desgracia, es bastante extensa. Sólo por mencionar algunos, citaremos a Gh0stNet, Shadownet, Enfal, Red October, NetTraveler, LuckyCat, Turla, Mirage, y Naikon. Pero hay muchos más. Y, en casos únicos, hemos visto nuevas e inusuales técnicas, como las utilizadas para infiltrar dispositivos móviles (atacantes Chuli), los ataques de Sabpub contra dispositivos con plataforma OS X, varios efectivos ataques ‘abrevadero’, y las usualmente ruidosas actividades dirigidas que esperaríamos de la mayoría de estos actores.

En marzo de este año, vimos un aumento en los ataques contra organizaciones indias relacionadas con políticas gubernamentales, económicas y medioambientales. Este equipo ha estado atacando estas organizaciones por años con una singular técnica de ataque WMI que no pierde su efectividad. Los componentes se conocen como WMIGhost o Shadow. Estos atacantes, como otros actualmente activos, suelen reutilizar temas geopolíticos coyunturales como spearphishing para establecer una cabecera de playa en las organizaciones atacadas. Por ejemplo, en un ataque en marzo de este año, se utilizó una inminente reunión entre los laboratorios de energía nacionales y los departamentos de energía como carnada spearphishing, hasta con errores ortográficos en el nombre del archivo: “India US strategic dialouge press release.doc” (000150415302D7898F56D89C610DE4A9).

A partir de ahí, la cadena del componente y el descargador es la misma que utilizaron con anterioridad. El exploit descarga “dw20.exe” (803e8f531989abd5c11b424d8890b407) –> “gupdate.exe” (481f8320b016d7f57997c8d9f200fe18) y “~tmpinst.js” (6a279a35141e9a7c73a8b25f23470d80). El script define objetos WMI para comunicaciones junto a sus instrucciones en un sitio wordpress cifradas al estilo de Comment Crew para desviar el troyano puerta trasera al servidor de comando y control apropiado en espera de instrucciones.

Junto a otros grupos, WMIGhost ataca activamente a blancos indios. En otra reciente campaña de WMIGhost en este año, se envió simultáneamente a varios blancos indios un falso documento militar no clasificado con la consistente cadena de herramientas de WMIGhost, “united states air force unmanned aircraft systems flight plan 2009-2047.doc”.

Observamos otros ataques en todo el territorio contra agencias gubernamentales y militares, ONGs, subcontratistas y desarrolladores de tecnología, y una lista creciente de blancos.

De estos grupos, hasta la fecha, NetTraveler ha sido el más prolífico, y de varias formas el más exitoso en la extracción de grandes volúmenes de datos. El equipo de NetTraveler puso mucho esfuerzo y atención para extraer datos de organizaciones indias. NetTraveler está robando gigabytes de datos de sus víctimas en todo el mundo, muchas de ellas en India. Aquí mostramos un ejemplo de la carnada que utilizaron para su spearphish desplegado en India. El contenido abarca temas políticos indios vigentes en el momento de su distribución:

Mientras tanto, otros grupos se encuentran trabajando en la extracción de más datos en India. Muchas organizaciones indias a todo nivel están sufriendo severos daños ocasionados por el spearphish y ataques contra servidores, y no se vislumbra su fin.