Se terminaron los juegos

Por mucho tiempo se había considerado al grupo Winnti como una fuente china de amenazas que apuntaban específicamente a desarrolladores de juegos. Hace poco tuvimos acceso a información de que podría tener más blancos y que ya no se limitaba a la industria del entretenimiento. Es más, nosotros hemos venido haciendo un seguimiento permanente de los ejemplares del programa malicioso Winnti, pero hasta el momento no hemos logrado capturar uno que contenga pistas sólidas de ataques contra otras industrias. Asimismo, nuestra visibilidad como fabricantes no cubre a todas las compañías del mundo (al menos hasta ahora ;)) y nuestra red Kaspersky Security Network (KSN) no ha detectado otros ataques, salvo los perpetrados contra compañías desarrolladoras de juegos. Bueno, a veces entre las organizaciones atacadas se encontraban las de telecomunicaciones, o mejor incluso, grandes conglomerados, que aparentemente tenían al menos uno de sus negocios relacionado de alguna forma con la producción o distribución de juegos online.

En abril, Novetta publicó su excelente informe sobre el programa malicioso Winnti, detectado en las operaciones del grupo Axion. El grupo Axiom se ha presentado como un avanzado autor chino de amenazas que lanzaba ataques de contraespionaje contra una amplia variedad de industrias. Para nosotros, el informe Novetta fue otra fuente de información de que Winnti ya se estaba expandiendo más allá de los juegos online. Una de las últimas muestras de Winnti que detectamos también parece confirmar esta sospecha.

La nueva muestra pertenece a una de las versiones de Winnti descrita en el informe de Novetta: Winnti 3.0. Esta es una de las DLLs que componen esta plataforma RAT (troyano de acceso remoto), la biblioteca Worker (que en esencia es la DLL RAT) con el nombre interno w64.dll y las funciones exportadas work_end y work_start. Puesto que, como es usual, este componente se guarda en el disco con las cadenas, y muchos otros datos en el encabezado PE se eliminan o se reajustan a cero, resulta imposible restaurar la fecha de compilación de esta DLL. Pero esta biblioteca incluye dos controladores compilados el 22 de agosto y el 4 de septiembre de 2014. La muestra contiene un bloque de configuración cifrado colocado como recubrimiento. Este bloque puede contener una etiqueta para la muestra; generalmente se trata de una ID de campaña o identificación/nombre de la víctima. Esta vez, los operadores colocaron esta etiqueta en la configuración y resultó ser el nombre de una compañía farmacéutica de renombre mundial con sede en Europa:

Figura 1. Bloque de configuración

Además de la etiqueta de la muestra, el bloque de configuración incluye los nombres de otros archivos involucrados en el funcionamiento de la plataforma RAT y el nombre del servicio (Adobe Service), después del cual se instala el programa malicioso. La presencia de los siguientes archivos podría ser una señal de que el sistema ha sido infectado:

C:WindowsTEMPtmpCCD.tmp
ServiceAdobe.dll
ksadobe.dat

Uno de los controladores mencionados (un conocido, malicioso rootkit de red Winnti) estaba firmado con un certificado robado de una división de un gigantesco conglomerado japonés. Aunque esta se encarga de la fabricación de microelectrónica, otras direcciones de negocios del conglomerado incluyen el desarrollo y producción de drogas y de equipos médicos.

Aunque la naturaleza de la participación de los operadores de Winnti (que antes se percibían como una amenaza sólo contra la industria de los juegos online) en las actividades de otros equipos de ciberespionaje sigue en tinieblas, la evidencia está ahí. A partir de ahora, cada vez que oigas mencionar a Winnti, no sólo pienses en los desarrolladores de juegos; empieza a incluir empresas farmacéuticas y de telecomunicaciones como blancos de sus ataques.

Estas son las muestras mencionadas:

8e61219b18d36748ce956099277cc29b – Backdoor.Win64.Winnti.gy
5979cf5018c03be2524b87b7dda64a1a – Backdoor.Win64.Winnti.gf
ac9b247691b1036a1cdb4aaf37bea97f – Rootkit.Win64.Winnti.ai