Revelan los detalles del ataque de Turla en Suiza

Hasta ahora las autoridades suizas habían optado por no informar sobre el ataque a RUAG, un contratista local del Ministerio de Defensa. Los detalles de este incidente cibernético fueron revelados solo el lunes pasado, cuando el CERT suizo levantó el velo de misterio e hizo público cómo los hackers habían llevado a cabo su plan.

Aunque los expertos no han especificado qué datos se robaron, en el informe al público han dado una descripción muy detallada sobre este ataque selectivo. Así, por ejemplo, establecieron que la herramienta clave utilizada por los cibercriminales fue un programa malicioso de la familia Turla, en combinación con otros troyanos y rootkits. De acuerdo con CERT, las computadoras de RUAG fueron infectadas ya en 2014. Los hackers actuaron con parsimonia, pero con constancia y con un propósito bien definido.

El público en general supo del incidente sólo al principio de este mes. El Ministro de Defensa de Suiza, Guy Parmelin, admitió la incursión y el robo de información un poco antes, en el Foro Económico Mundial celebrado en Davos en enero.

Según el CERT suizo, el ataque al contratista militar fue un acto de espionaje. Los atacantes hicieron todo lo posible para pasar inadvertidos y las primeras incursiones les proporcionaron una penetración más profunda en la red. “Los autores mostraron una gran moderación durante la penetración y la ampliación del ataque, -según los expertos. Atacaban solo los objetivos en los que estaban interesados, utilizando diferentes herramientas, tales como listas de IP específicas y la creación de detallados mapas digitales (fingerprinting) antes y después de la penetración inicial”.

Una vez obtenido el acceso a la red RUAG, los atacantes comenzaron a moverse horizontalmente, infectando otros dispositivos y aumentando sus privilegios. “Uno de los objetivos principales era el servicio de Active Directory (Microsoft), que abre la posibilidad de controlar otros dispositivos y obtener acceso a los datos de interés para los piratas informáticos mediante el uso de los privilegios y directivas de grupo apropiadas” –escriben los representantes del CERT en un informe.

A juzgar por los instrumentos utilizados, el ataque de hackers contra la RUAG es parte de la campaña APT a gran escala Epic Turla, cuyos objetivos principales son las instituciones gubernamentales, embajadas y organismos militares. Los iniciadores de Epic Turla, descritos en detalle por los expertos de Kaspersky Lab en 2014, suelen usar phishing selectivo, exploits para Windows y Adobe Reader, además de ataques de abrevadero con elementos de ingeniería social.

En este caso, CERT remarcó que el malware principal enviaba los datos a servidores de terceros, y recibía órdenes para llevar a cabo otras tareas. Para evitar que los descubran, los atacantes crearon en la red RUAG una jerarquía completa de canales de comunicación entre los dispositivos infectados. Algunas máquinas de esta subred P2P funcionaban como routers, otras no tenían ningún tipo de comunicación con el servidor de administración y se utilizaban como simples unidades de trabajo.

Los detalles del ataque a la RUAG mediante Turla es un nuevo y valioso material para Kaspersky Lab, que ha tomado nota de esta campaña de espionaje. “El uso de BeFF y la actividad relacionada con Google Analytics confirman nuestras conjeturas, reflejadas en el informe sobre Epic Turla, a saber, que Turla analiza escrupulosamente el sistema de destino e implementa herramientas adicionales en éste” – comentó Kurt Baumgartner, uno de los prestigiosos expertos antivirus de Kaspersky Lab. Según él, antes de la infección, los atacantes crean un complejo mapa para verificar la idoneidad del sistema que tienen en la mira. Después de hacerlo, organizan ataques de abrevadero, por medio de la implementación de redirectores.

“El ataque de abrevadero consiste en hacer redirecciones que remitan a la víctima a un sitio malicioso, -explican a su vez los expertos suizos. Pero hay varios tipos de redirectores. Según nuestras observaciones, en calidad de redirectores se pueden utilizar enlaces cortos, así como código JavaScript camuflado como una secuencia de comandos de Google Analytics. El sitio malicioso coteja la dirección IP de la víctima con una lista de objetivos y al encontrar una coincidencia, devuelve una secuencia de comandos para crear el mapa”.

Este resultado se envía al mismo servidor, y después se lo comprueba manualmente. Si la computadora despierta el interés de los atacantes, la infectan usando un exploit o mediante trucos de ingeniería social. “El siguiente paso es aplicar un script más complejo para crear el mapa, -escriben más adelante los integrantes de CERT. Este script intenta recopilar la mayor cantidad posible de información acerca de la víctima, utilizando código JavaScript, tomado del framework BeFF“.

Según afirma Baumgartner, los instrumentos específicos usados para la penetración por Epic Turla tienen una complejidad que supera con creces algunos instrumentos que los atacantes usan una vez que ya se encuentran dentro de la red. Su avance posterior, aunque eficaz, ya carece del ingenio que mostraron al buscar el punto de entrada. Para ampliar su presencia en la red de destino, los piratas informáticos utilizan diferentes herramientas disponibles al público: Mimikatz, Pipelist, Psexec, Dsquery y ShareEnum.

Los participantes del CERT suizo evitan especular sobre la autoría del ataque. “En primer lugar, es casi imposible evidencias unívocas -explican en el texto del informe. En segundo lugar, creemos que no es tan importante: por desgracia, son muchos los que usan el malware y las intrusiones a redes para lograr sus intenciones”.

El coautor del informe del CERT suizo es el Centro Analítico MELANI, creado para implementar el programa de defensa suizo contra ataques cibernéticos.

Fuentes: Threatpost