Informes sobre APT

Gauss: Troyano bancario se utiliza en el espionaje cibernético gubernamental

Introducción

Gauss es la última operación de ciberespionaje de la saga de Stuxnet, Duqu y Flame.
Es posible que se haya creado a mediados de 2011 y utilizado por primera vez entre agosto y septiembre de 2011.
Gauss se descubrió en el curso de la investigación iniciada por la Unión Internacional de Telecomunicaciones (ITU) , después de que se descubriera Flame. La iniciativa busca mitigar los peligros de las armas virtuales, un componente clave para alcanzar el objetivo general de conseguir la paz cibernética mundial.
En menos de 140 caracteres, “Gauss es un troyano bancario auspiciado por algún estado o nación que tiene fines bélicos contra destinos desconocidos”. Además de robar diferentes tipos de datos de los equipos Windows infectados, incluye un ataque desconocido y codificado que se activa con configuraciones específicas del sistema.
Así como Duqu se basaba en la plataforma “Tilded” en la que se desarrolló Stuxnet, Gauss se basa en la plataforma “Flame”. Comparte algunas funcionalidades con Flame, como las subrutinas de infección mediante USBs.
En esta entrada responderemos a preguntas frecuentes sobre las cuestiones principales de esta operación. También publicamos un artículo técnico completo (versión HTML y PDF ) sobre las funcionalidades del malware.

¿Qué es Gauss? ¿De dónde proviene su nombre?

Gaus es una herramienta de ciberespionaje compleja creada por los mismos cibercriminales responsables de la plataforma de malware Flame. Es muy modular y acepta nuevas funciones en la forma de complementos que los operadores pueden utilizar a distancia. Los complementos que se conocen por ahora tienen las siguientes funciones:

  • Interceptar las cookies y contraseñas del navegador.
  • Recolectar y enviar los datos de configuración del sistema a los atacantes.
  • Infectar dispositivos USB con un módulo para robar datos.
  • Hacer una lista del contenido de los discos y carpetas del sistema.
  • Robar las credenciales de acceso a varios sistemas bancarios del Oriente Medio.
  • Secuestrar la información de las cuentas de redes sociales, correos electrónicos y mensajería instantánea.

Los módulos tienen nombres internos inspirados en filósofos y matemáticos famosos, como Kurt Godel , Johann Carl Friedrich Gauss y Joseph-Louis Lagrange .

El módulo llamado “Gauss” es el más importante del malware porque implementa la habilidad de robo de datos, por lo que lo adoptamos para nombrar la herramienta de malware.

Arquitectura de Gauss

Además, los autores olvidaron eliminar la información de depuración de algunos de los ejemplares de Gauss, que contiene las rutas en las que se encuentra el proyecto. Las rutas son:

Variante Ruta a los archivos del proyecto
Agosto de 2011 d:projectsgauss
Octubre de 2011 d:projectsgauss_for_macis_2
Diciembre de 2011-Enero de 2012 c:documents and settingsflamerdesktopgauss_white_1

Enseguida resalta “projectsgauss”.
En cuanto a la parte que dice “white”, creemos que es una referencia a Líbano, el país con la mayor cantidad de infecciones de Gauss. Según el artículo de Wikipedia en inglés sobre el Líbano, “El nombre de Líbano proviene de la raíz semántica LBN, que significa “blanco” (white), probablemente haciendo referencia a la cumbre nevada del Monte Líbano”. http://en.wikipedia.org/wiki/Lebanon#Etymology

¿Cómo se descubrió Gauss? ¿Y dónde?

Gauss se descubrió durante la investigación que inició la Unión Internacional de Telecomunicaciones (ITU), que es parte de una iniciativa para mitigar los peligros de las ciberamenazas emergentes y defender la paz cibernética.
Como parte de la iniciativa, continuamos analizando los componentes desconocidos de Flame para determinar si revelaban similitudes, correlaciones o pistas sobre nuevos programas maliciosos activos.
Durante el análisis, descubrimos un módulo de ciberespionaje separado que parecía similar a Flame, pero con una distribución geográfica diferente. Al principio no le prestamos mucha atención porque muchos programas anti-malware ya lo detectaban. Pero después descubrimos varios módulos, incluyendo algunos que no se habían detectado y, al estudiarlos con mayor profundidad, nos dimos cuenta de que tenían similitudes muy obvias con Flame. Después de nuestro análisis detallado de junio y julio de 2012, confirmamos que el origen del código y los autores eran los mismos que en Flame.

¿Cuándo se creó Gauss y cuánto tiempo ha estado funcionando? ¿Sigue activo?

Basando nuestro análisis en las fechas estampadas en los módulos de malware que conseguimos, creemos que la operación de Gauss comenzó aproximadamente en agosto o septiembre de 2011. Esto es particularmente interesante porque, más o menos en septiembre de 2011, CrySys Lab de Hungría anunció el descubrimiento de Duqu. No sabemos si la gente de Duqu se cambió a Gauss en ese momento, pero estamos seguros de que hay una relación entre ellos: Gauss está relacionado con Flame, Flame con Stuxnet y Stuxnet con Duqu. Por lo tanto, Gauss está relacionado con Duqu.
Desde finales de mayo de 2012, el sistema de seguridad en la nube de Kaspersky Lab registró más de 2.500 infecciones, por lo que se estima que Gauss tuvo decenas de miles de víctimas.
La infraestructura de comando y control de Gauss se desactivó en julio de 2012. Por ahora, el malware está dormido, esperando a que sus servidores C&C vuelvan a activarse.

¿Cuál es el mecanismo de infección de este malware? ¿Es capaz de replicarse a sí mismo (gusano)?

Como en el caso de Flame, todavía no sabemos a cuántas víctimas infectó Gauss. Es posible que el mecanismo sea igual que el de Flame y todavía no lo hayamos descubierto; o podría estar utilizando un método diferente. No hemos visto que Gauss sea capaz de replicarse a sí mismo (como un gusano), pero el hecho de que tenga más víctimas que Flame podría indicar que tiene una característica de propagación lenta. Es posible que esto lo implemente un complemento que todavía no hemos descubierto.
Es importante mencionar que Gauss infecta dispositivos USB con un componente para robar datos que aprovecha la misma vulnerabilidad .LNK (CVE-2010-2568) que explotan Stuxnet y Flame. Al mismo tiempo, el proceso para infectar dispositivos USB es más inteligente y eficiente. Gauss es capaz de “desinfectar” el dispositivo bajo ciertas circunstancias y utiliza los dispositivos removibles para guardar la información recolectada en un archivo oculto. Flame también tiene esta capacidad de recolectar información en un archivo escondido en dispositivos USB. Otro componente interesante de Gauss es la instalación de una fuente personalizada llamada Palida Narrow. Se desconoce por qué se instala esta fuente.

Incluye alguna vulnerabilidad de día cero (o alguna conocida)?

Todavía no hemos encontrado en Gauss ninguna vulnerabilidad de día cero o exploit de “modo Dios” al estilo de Flame. Pero, como el mecanismo de infección todavía se desconoce, hay una obvia posibilidad de que se esté utilizando un exploit desconocido.
Hay que notar que la gran mayoría de las víctimas de Gauss ejecutan Windows 7, que debería ser propenso al exploit .LNK que utiliza Stuxnet. Por lo tanto, no podemos confirmar que no existan vulnerabilidades del día cero en Gauss.

¿Tiene Gauss alguna carga explosiva o bomba de tiempo?

Sí, la tiene. La carga explosiva de Gauss que roba datos USB contiene muchas secciones codificadas que se decodifican con una llave derivada de ciertas propiedades del sistema. Estas secciones se codifican con una llave RC4 derivada de un hash MD5 realizada 10.000 veces con una combinación de una cadena de caracteres de ambiente “%PATH%” y el nombre del directorio en %PROGRAMFILES%. La llave RCA y los contenidos de estas secciones todavía no se conocen, así que no sabemos el propósito de esta carga explosiva escondida.
Todavía estamos analizando los contenidos de estos bloques codificados misteriosos y tratando de romper su codificación. Si eres un criptógrafo y te interesa este reto, envíanos un mensaje a theflame@kaspersky.com.

¿En qué difiere de un típico troyano de puerta trasera? ¿Hace algo en particular que sea nuevo o interesante?

Después de estudiar a Stuxnet, Duqu y Flame, podemos decir con seguridad que Gauss proviene de la misma “fábrica” o “fábricas”. Todas estas herramientas de ataque son la cumbre del ciberespionaje y de las operaciones de ciberguerra patrocinados por un gobierno, y dan sentido a la frase “malware sofisticado”.
La arquitectura modular de Gauss es parecida a la de Duqu: utiliza un registro codificado para guardar información sobre los complementos que debe cargar; está diseñada para mantener escondido el malware, evadir los productos de seguridad y monitorizar programas, y emplea funciones de vigilancia del sistema muy detalladas. Además, Gauss contiene una carga explosiva de 64 bits, y complementos compatibles con el navegador Firefox, diseñados para robar y monitorizar datos de los clientes de muchos bancos libaneses: Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank y Credit Libanais. También ataca a los usuarios de Citibank y PayPal.
De hecho, esta es la primera vez que vemos una campaña de ciberespionaje con un componente de troyano bancario. No se sabe si los operadores están transfiriendo fondos de las cuentas bancarias de la víctima o si sólo están monitorizando las fuentes de finanzas/financiamiento de blancos específicos.

¿Cuán sofisticado es Gauss? ¿Tiene características, funciones o comportamientos particulares que lo diferencien de otros programas espía o de troyanos que roban información?

Comparado con Flame, Gauss es menos sofisticado. No tiene la arquitectura modular basada en LUA, pero aun así es bastante flexible. En comparación con otros troyanos bancarios, parece estar ajustado con exactitud, en el sentido de que no ataca a cientos de instituciones financieras, sino a una selecta lista de instituciones de bancos online.

¿Qué particularidad tiene Gauss, ya sea en el ámbito tecnológico o en el operacional, que lo diferencia de Flame, Duqu y Stuxnet?

La característica clave de Gauss es su funcionalidad de troyano bancario online. Su habilidad para robar credenciales de bancos online es algo que no habíamos visto antes en ataques de malware patrocinados por un gobierno.

¿Cuántos ordenadores infectados hay? ¿Cuántas víctimas se han visto?

La red en la nube Kaspersky Security Network (KSN) ha registrado más de 2.500 ordenadores infectados. Esta cantidad es menor a la de Stuxnet, pero mucho mayor que la de Flame y Duqu.
El número general de infecciones que hemos detectado podría en realidad sólo ser una pequeña porción de decenas de miles de infecciones, ya que nuestras estadísticas sólo cubren a usuarios de productos Kaspersky Lab.


Comparación geográfica de ordenadores infectados por Duqu, Flame y Gauss

¿Dónde están ubicadas las víctimas (distribución geográfica)?

La mayoría de las víctimas de Gauss se encuentra en Líbano. También hay víctimas en Israel y Palestina. También hay algunas víctimas en los Estados Unidos, los Emiratos Árabes Unidos, Qatar, Jordania, Alemania y Egipto.

Los tres países con la mayor cantidad de infecciones de Gauss

¿Ataca Gauss a algún tipo particular de industria?

Gauss no ataca a compañías o a ninguna industria específica. Se puede describir como una sofisticada operación de ciberespionaje contra individuos específicos.

¿Es un ataque patrocinado por algún estado o nación?

Sí, hay suficientes evidencias como para afirmar que tiene una relación muy cercana con Flame y Stuxnet, que son ataques patrocinados por un estado o nación. Tenemos pruebas de que Gauss se creó en la misma “fábrica” (o fábricas) que produjeron Stuxnet, Duqu y Flame.
Observando Flame, Gauss, Stuxnet y Duqu, podemos explicar la relación que existe entre ellos con la siguiente imagen:

¿Cuántos servidores de comando y control tiene? ¿Se ha realizado algún análisis forense de estos servidores?

Mientras analizábamos Gauss, identificamos varios dominios de comando y control y 5 servidores diferentes que se estaban usando para extraer los datos que se recolectaron de los ordenadores infectados.
Esta también es la primera vez que vemos que se use “Round-robin DNS” en estas familias de malware, lo que puede indicar que se está procesando una mayor cantidad de datos. Round-robin DNS o DNS Balancing es una técnica que se usa para distribuir grandes cargas de trabajo entre diferentes servidores web.
Seguimos investigando la infraestructura de Gauss C2. Puedes encontrar más información en el “artículo técnico completo”.

¿Hemos aislado los servidores de comando y control en un “sinkhole”?

No. Ahora mismo estamos trabajando con varias organizaciones para investigar los servidores C2.

¿Cuál es el tamaño de Gauss? ¿Cuántos módulos tiene?

El módulo “nave nodriza” de Gauss mide poco más de 200 k. Puede cargar otros complementos que, logran un total de 2 MB de código. Esto es casi un tercio del módulo principal de Flame, mssecmgr.ocx . Por supuesto, puede haber módulos que todavía no hemos descubierto que se usen en otras regiones geográficas o en otros casos específicos.

¿Puede detectar Kaspersky Lab este malware? ¿Cómo sé si mi equipo está infectado?

Sí, Kaspersky Lab detecta este programa malicioso como Trojan.Win32.Gauss.

¿Está trabajando Kaspersky Lab con otras organizaciones gubernamentales o grupos internacionales para participar en la iniciativa de investigación y desinfección?

Kasperksy Lab está trabajando muy de cerca con la Unión Internacional de Telecomunicaciones (ITU) para notificar a los países afectados sobre el problema y ayudarles a desinfectar sus sistemas.
¿Se ha puesto Kaspersky Lab en contacto con las víctimas infectadas con Gauss?
No tenemos información que nos permita identificar a las víctimas, ni somos capaces de ponernos en contacto con ellas. En vez de eso, estamos lanzando definiciones para detectar y eliminar la amenaza, y en la actualidad estamos trabajando con agencias gubernamentales, CERTs y otras organizaciones internacionales para publicar alertas sobre las infecciones.

¿Por qué se concentra en conseguir historiales de navegación, credenciales bancarias, BIOS e información de tarjetas de red e interfaz? ¿Qué significado o interés tienen estos datos en particular?

No tenemos una respuesta definitiva para esto. Imaginamos que a los atacantes les interesa crear un perfil de las víctimas y sus ordenadores. Las credenciales bancarias, por ejemplo, se pueden utilizar para controlar el balance de las cuentas de sus víctimas o se pueden usar directamente para robar dinero. Creemos que la teoría de que Gauss se utiliza para robar el dinero necesario para financiar otros proyectos como Flame y Stuxnet no es compatible con la idea de ataques patrocinados por naciones y estados.

¿Por qué tratan de obtener los atacantes credenciales bancarias? ¿Las estaban utilizando para robar dinero o para monitorizar las transacciones dentro de las cuentas?

No se sabe. Sin embargo, es difícil creer que un estado o nación dependa de estas técnicas para financiar una ciberguerra o una operación de ciberespionaje.

¿Qué tipos de datos se filtran?

La infraestructura de Gauss se cerró antes de que tuviéramos la oportunidad de analizar una infección en vivo y ver qué tipo de datos se estaba robando con exactitud. Por lo tanto, nuestras observaciones se basan sólo en el análisis del código.
Los atacantes también reciben datos detallados del ordenador infectado, incluyendo información específica sobre interfaces de redes, discos del equipo y hasta información sobre BIOS. El módulo Gauss también puede robar credenciales de acceso para varios sistemas bancarios online y métodos de pago.
Es importante notar que la infraestructura Gauss C2 usa Round Robin DNS, lo que significa que los atacantes estaban listos para controlar grandes cantidades de tráfico de, quizás, decenas de miles de víctimas. Esto nos puede dar una idea de la cantidad de datos robados por los complementos de Gauss.

¿Tiene algún componente de tiempo de vida (Time-to-Live) como Flame y Duqu?

Cuando Gauss infecta un dispositivo de memoria USB, establece un indicador en “30″. Este indicador TTL (de tiempo de vida) se va descontando cada vez que la carga explosiva se ejecuta desde el dispositivo USB. Cuando llega a 0, se limpia a sí mismo del dispositivo. Esto evita que las infecciones de Gauss sobrevivan lo suficiente como para que las detecten.

¿Qué lenguaje de programación se usó? ¿LUA? ¿OOC?

Como Flame, Gauss está programado en C++. Comparten una buena cantidad de código, probablemente bibliotecas de bajo nivel que se usan en ambos proyectos. Estas bibliotecas comunes se encargan de las cadenas de caracteres y otras tareas de manipulación de datos. No hemos encontrado ningún código LUA en Gauss.

¿Qué diferencias de propagación tienen Gauss y Flame dentro de las redes?

Uno de los mecanismos de propagación más conocidos de Flame es que se hace pasar por Windows Update y lanza ataques “man-in-the-middle” contra las víctimas. Todavía no hemos encontrado ninguno de estos códigos en Gauss, ni hemos identificado una red local de mecanismos de propagación. Seguimos investigando la situación y actualizaremos las FAQ con nuestros descubrimientos futuros.

¿Se conectaban los servidores de comando y control a los de Flame, o tiene Gauss su propia infraestructura?

Gauss usaba una infraestructura C2 diferente a la de Flame. Por ejemplo, Flame utilizaba alrededor de 100 dominios para sus C2s, mientras que Gauss sólo usa 6. Esta es una comparación de las infraestructuras C2 de Gauss y Flame:

= Flame Gauss
Hosting VPS que ejecuta Debian Linux VPS que ejecuta Debian Linux
Servicios disponibles SSH, HTTP, HTTPS SSH, HTTP, HTTPS
Certificado SSL ‘localhost.localdomain’ – firma propia ‘localhost.localdomain’ – firma propia
Información del registrante Nombres falsos Nombres falsos
Dirección del registrante Hoteles, tiendas Hoteles, tiendas
Protocolo de tráfico C2 HTTPS HTTPS
Cifrado del tráfico C2 Ninguna XOR 0xACDC
Nombres del script C2 cgi-bin/counter.cgi, common/index.php userhome.php
Número de dominios de C2 ~100 6
Número de identidades falsas utilizadas para registrar dominios ~20 3

¿Qué puedo hacer si descubro una infección y quiero aportar a vuestra investigación con ejemplares del malware?

Por favor escríbenos a la dirección “theflame@kaspersky.com”, que establecimos para las víctimas de estos ciberataques.
Aquí puedes descargar la versión completa en PDF del artículo técnico (en inglés).

Gauss: Troyano bancario se utiliza en el espionaje cibernético gubernamental

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada