El troyano “Destover” ahora tiene una firma digital de Sony

Hace varios días, nuestros productos detectaron un ejemplar inusual de la familia Destover. La familia de troyanos Destover se estuvo usando en los notorios ataques conocidos como DarkSeoul en marzo de 2013 y en las más recientes amenazas contra Sony Pictures en noviembre 2014. Escribimos al respecto el 4 de diciembre, en una entrada en la que también hablamos de sus posibles vínculos con el ataque de Shamoon de 2012.

Lo inusual del nuevo ejemplar es que está firmado por un certificado digital válido de Sony:

El ejemplar firmado se había visto antes, pero sin la firma, como MD5: 6467c6df4ba4526c7f7a7bc950bd47eb y parece que se compiló en julio de 2014.

El nuevo ejemplar tiene el MD5 e904bf93403c0fb08b9683a9e858c73e y parece que se firmó el 5 de diciembre de 2014, hace pocos días.

En cuanto a su funcionamiento, la puerta trasera tiene dos C&Cs y se intenta conectar con ambos de forma alterna, con retrasos entre las conexiones:

• 208.105.226[.]235:443 – United States Champlain Time Warner Cable Internet Llc
• 203.131.222[.]102:443 – Thailand Bangkok Thammasat University

¿Qué significa esto? Los certificados robados de Sony (que los atacantes también filtraron) pueden usarse para firmar otros programas maliciosos. Estos, a su vez, también pueden emplearse en otros ataques. Como las soluciones de seguridad confían en los certificados digitales de Sony, los ataques son más efectivos. Hemos visto ataques en el pasado que emplean certificados de confianza para burlar los programas de las listas de admitidos y las políticas de negación de acceso predeterminada.

Hay hemos denunciado el certificado digital a COMODO y Digicert y esperamos que pronto se agregu a las listas de rechazados. Los productos Kaspersky seguirán detectando los ejemplares del programa malicioso aunque tengan firmas digitales.

Número de serie del certificado robado:

• ‎01 e2 b4 f7 59 81 1c 64 37 9f ca 0b e7 6d 2d ce

Huella digital:

• ‎8d f4 6b 5f da c2 eb 3b 47 57 f9 98 66 c1 99 ff 2b 13 42 7a

Desde que publicamos esta entrada del blog, se descubrió que este ejemplar puede haber sido una “broma” de un grupo de investigadores de seguridad.š Esto generó preguntas entre los periodistas y otros miembros de la comunidad, así que decidimos abordarlas en esta actualización:

1. ¿Se encontró el ejemplar firmado rondando en Internet?

Hasta ahora, no hemos visto muestras del ejemplar firmado rondando libre en la red. Sólo hemos visto que se ha enviado a servicios de análisis de malware online. Sin embargo, la existencia de este ejemplar demuestra que la llave privada estaba en dominio público. Es por eso que nos dimos cuenta de que teníamos una situación muy seria en nuestras manos, sin importar quién había sido el responsable de firmar el programa malicioso.

Los informes indican que el “investigador” se dirigió a las autoridades de certificación para que revocaran el certificado después de haber enviado el programa malicioso a Internet. El certificado se habría revocado sin crear un nuevo programa malicioso. En realidad no había necesidad de crear nuevos programas maliciosos para probar que el certificado todavía no se había revocado.

2. ¿Se sabe cuántos certificados de Sony se filtraron?

Hasta ahora hemos visto decenas de archivos PFX filtrados en Internet. Los archivos PFX contienen las llaves privadas y certificados necesarios. Los archivos están protegidos por una contraseña, pero puede adivinarse o forzarse con facilidad. No todos estos archivos PFX son de un valor primordial para los atacantes.

3. ¿Cuál es el peligro de que se filtre un certificado para firmar códigos de una gran corporación?

La importancia de la filtración de llaves para firmar códigos no debe subestimarse. El sistema operativo, los programas de seguridad y los primeros usuarios suelen confiar en los programas firmados por una entidad de confianza, por lo que esta es una herramienta muy poderosa para que los cibercriminales ataquen sin ser detectados.

La revocación de certificados debe ser una prioridad al responder a grandes incidentes e intrusiones de malware.

4. ¿Confían más los productos antivirus en los programas con una certificación de “confianza” que en aquellos que no están firmados?

La confianza en los archivos se basa en su reputación, y las firmas digitales juegan un rol muy importante en ello. Pero una firma digital por sí misma no basta para generar confianza. Nos fijamos en la reputación de las entidades que emitieron y solicitaron el certificado.

Los productos Kaspersky Lab detectan los archivos con firmas digitales. Nuestros productos detectaron la variante firmada de Destover con la rutina de detección creada para la primera variante de Destover.