¿Quién se esconde en el sitio de noticias norcoreano?

Informes iniciales ignoran un posible atacante externo de KCNA

Los investigadores de seguridad han anunciado que el sitio web oficial de la Agencia Telegráfica Central de Corea (KCNA) de la República Popular Democrática de Corea ha estado propagando un programa malicioso que se hace pasar por una actualización de Flash Player. El código sigue activo en la página principal de la KCNA. Las variables de javascript en la parte superior del código fuente de la página principal forman parte de un mecanismo de javascripts entrelazados para buscar requisitos específicos antes de redirigir al visitante a una ubicación relativa, download/FlashPlayer10.zip.

El sitio de entrega de malware ha estado funcionando, aunque su respuesta a intentos de conexión es, en el mejor de los casos, intermitente. El archivo zip contiene dos ejecutables con los nombres de instaladores Flash comunes. Este malware ha estado presente desde finales de 2012.

Lo que parece ser una mezcla de atribuciones apresuradas e inteligencia falsa ha generado la hipótesis estándar de que los desarrolladores del sitio pusieron allí el malware para que infectara los equipos de los extranjeros interesados por las noticias de la República de Corea. Pero este puede no ser el caso porque los incidentes suelen ser más complejos de lo que parecen. Y hay una pieza significativa del rompecabezas que debe tomarse en cuenta – se agregó este filtro de páginas web con la intervención humana. Esta no es una de las rutinas virales, en ninguno de sus muchos componentes. Por el contrario, los disparadores del malware, sus requisitos de sistema y similitudes técnicas y operacionales con las operaciones de DarkHotel más recientes apuntan hacia la participación de un actor externo, que tal vez quiere tener bajo su vigilancia a la élite norcoreana que está dispersa en la red.

La mayor parte de las víctimas son personal de ingeniería de redes de telecomunicaciones, gestores de bienes y comercio, personal de ingeniería eléctrica de farmacias, equipos de desarrollo de programas distribuidos, administradores de negocios, personal académico e informático de escuelas, etc.

Ataque a sitios web y difusión geográfica

Una de las características más notables es que no se comparte el programa malicioso con todos los visitantes del sitio. El envío se cancela si el sistema Windows de la posible víctima tiene instalado Flash Player 10 original o una versión posterior. Si el usuario trata de ver los videos o presentaciones de fotos vinculados en el panel inferior derecho de la página, se le muestra un gif que dice que se necesita un reproductor de Flash. Por supuesto, pulsar en el gif redirige al archivo zip malicioso. También llama la atención que este malware no tiene una variante para Linux ni para OS X, así que distribuye sólo ejecutables de Windows. Es interesante que los componentes del malware se hayan detectado por primera vez en noviembre de 2012, dos meses antes de la primera aparición conocida del paquete de Flashplayer en el sitio web kcna.kp. Aunque no conocemos el origen exacto de estas infecciones, en este momento sospechamos que era el mismo sitio web kcna. No hemos visto otras fuentes.

Los datos de KSN también muestran algunos casos selectos en los que los usuarios de Firefox recibieron el malware mientras visitaban una página conocida por sus secuencias de comandos cruzados que se describen en la siguiente sección: “Posible abrevadero vulnerable a ataques XSS”. En esencia, el momento y ubicación de recursos de esta vulnerabilidad presenta la posibilidad definitiva de que ocurra la intrusión de un actor.

La distribución de un archivo zip dependiente de la interacción del usuario y de su infección hacia sí mismo implica un nivel bajo de complejidad del ataque, pero veamos más allá de los elementos de ingeniería social y consideremos también el perfil de la víctima. Los atacantes que operan desde este sitio en particular buscan usuarios con poca experiencia y un conocimiento general de cuestiones técnicas, y también sistemas operativos Windows muy desactualizados. La versión 10 de Flash Player se lanzó en octubre de 2008, y los navegadores más recientes como Google Chrome incluyen un complemento de Flash nuevo. Estos ataques se realizaron no antes del tercer trimestre de 2012.

Lo más probable es que los usuarios a los que está dirigido el ataque tengan fama de usar sistemas desactualizados con estas particularidades. Este es el caso de Corea del Norte, donde la mitad de los ordenadores siguen funcionando con Windows XP según Global Stats. En comparación, Corea del Sur tenía el año pasado un índice de adopción de Windows 7 de casi el 80%.

Entonces, ¿en qué consiste la difusión geográfica del programa? Los dos componentes asociados principales, mscaps.exe y wtime32.dll, se detectaron principalmente en sistemas de China, seguidos por Corea del Sur y Rusia. Podemos inferir que estos sistemas se infectaron en algún momento y se convirtieron en víctimas del programa kcna.kp:

Sin embargo, descubrir la ubicación geográfica de los países más afectados no es tan simple como parece. šExisten informes que indican que las élites norcoreanas tienen acceso a varios proveedores de Internet que pueden cambiar las ubicaciones de sus direcciones IP a rangos chinos, rusos y de Hong Kong.

Posible abrevadero vulnerable a ataques XSS

Como Corea del Norte se ha etiquetado como el culpable del hack a Sony, los informes originales han aceptado de forma automática la idea de que este ataque se realizó desde el interior de Corea del Norte para vigilar a las personas interesadas en los medios de comunicación oficiales del estado. Examinemos las dificultades para llegar a esa conclusión.

En primer lugar, el sitio en sí mismo ya era vulnerable a XSS a principios de 2013, cuando el instalador del paquete Flashplayer apareció por primera vez en el sitio. “Hexspirit” muestra la vulnerabilidad aquí, en XSSed, en abril de 2013. De hecho, en enero de 2013 se vieron las primeras páginas que dirigían al paquete flashplayer en kcna. kp mediante una página XSS vulnerable idéntica:

hxxp://www.kcna.kp/kcna.user.home.photo.retrievePhotoList.kcmsf;jsessionid=xxx

Por lo tanto, es posible que un actor de Amenazas Persistentes Avanzadas (APT) haya sido quien entregó el paquete flashplayer, y no el patrocinador gubernamental del sitio. Si se combina esta posibilidad con la afición del APT Darkhotel de distribuir instaladores Flashplayer desde recursos comprometidos, este escenario se torna muy viable. También existe una fuerte probabilidad de que los desarrolladores del sitio hayan mantenido ordenadores infectados sin darse cuenta.

La táctica de ubicar malware en el sitio oficial de noticias del país está estrechamente ligada con el tipo de público que estaría interesado en el contenido de este sitio – que encontraría la amenaza mientras navega en las profundidades del sector de noticias del sitio. Por supuesto, podríamos pensar que los elementos clave de la comunidad internacional, como los disidentes, comités de expertos e instituciones financieras estarían interesados en las noticias del estado de Corea del Norte, pero sus sistemas no cumplen con los requisitos de Flash Player para que se realice la infección. También hemos visto foros en los que se llevan a cabo acaloradas discusiones que incluyen enlaces a fotos que redirigen al malware del instalador de Flash. Tal vez los participantes del foro también recibieron ataques de esta manera. Es por eso que este ataque abrevadero podría apuntar hacia adentro y estar a cargo de un actor externo que afecta de forma deliberada a la élite norcoreana esparcida alrededor del mundo y con acceso a Internet, así como a otros lectores interesados.

Similitudes con Darkhotel

El informe original incluye un análisis preliminar de los poco convencionales trabajos internos del instalador de malware, escondidos en dos ejecutables que se hacen pasar por actualizaciones de Flash Player 10. Vayamos un paso más allá y discutamos según las siguientes categorías las similitudes entre el código viral alojado en kcna.kp y el malware Darkhotel que se había documentado antes:

• Ingeniería social
• Distribución
• Recolección de datos
• Configuración de redes y ofuscación simple
• Infección e inyector de comportamiento
• Marcas y líneas de tiempo

Puede encontrarse un referente para esas similitudes en el malware en las descripciones distribuidas durante las operaciones de DarkHotel. A continuación, haremos algunas comparaciones.

Ingeniería social

La similitud más obvia entre ambas operaciones es la forma en la que propagan instaladores de FlashPlayer que incluyen puertas traseras de recursos de servidores de Internet comprometidos. Esta es la primera página de la guía de operaciones de Darkhotel y una de sus cualidades más distintivas, que ahora se están replicando en el ataque de KCNA. Los beneficios de esta forma de operar son significativos, en especial si se toma en cuenta que el malware de KCNA no tiene una firma digital y exige la interacción del usuario para ejecutarse.

Recopilación de datos

En un nivel técnico, es interesante recordar al ladrón de información Darkhotel de 2012. Su función es conseguir puntos de datos que identifiquen los sistemas afectados. Los puntos de datos de interés para el ladrón de información DH son muy similares a aquellos de su equivalente KCNA (que se muestran abajo):

De hecho, muchos de los puntos de datos que el instalador de malware KCNA recopila de los sistemas afectados son los mismos que busca Darkhotel. El elemento de Darkhotel que falta en esta lista es el “Nombre e identificador del CPU”, que ha sido reemplazado por “hora de infección”.

El ladrón Darkhotel organiza los datos robados en un formato interno específico estructurado en un nombre-dos puntos-valor, como se puede ver a continuación:

El ladrón KCNA mantuvo los datos robados con el siguiente formato interno, muy similar al formato Darkhotel (nombre-dos puntos-valor):

Configuración de redes y ofuscación simple

La llamada de respuesta de la red de este paquete incluye varios Nombres de Dominio Completos (FQDNs) inusuales. Esta configuración de redes está integrada dentro de wtime32.dll:

a.gwas.perl.sh
a-gwas-01.dyndns.org
a-gwas-01.slyip.net

Es interesante que el malware está configurado con tres servidores de comando y control de conexión inversa, de forma similar a decenas de puertas traseras de Darkhotel. Una rutina muy simple también ubica estas cadenas de caracteres dentro de la sección .data de los componentes wtime32.dll y las descifra como variables globales. Esas cadenas de caracteres están ofuscadas dentro del binario con un simple bucle XOR 0x12. Los ejemplares Darkhotel posteriores tienen un enfoque algo más complicado. Estas son algunas de las cadenas de caracteres con una ofuscación extraña:

SoftwareMicrosoftActive SetupInstalled Components
{ef2b00e3-19da-4e78-b118-6b6451b719f2}
{a96adc11-e20e-4e21-bfac-3e483c40906e}
SoftwareMicrosoftWindowsCurrentVersionRun
JREUpdate
mscaps.exe
a.gwas.perl.sh
a-gwas-01.slyip.net
a-gwas-01.dyndns.org
update.microsoft.com
20
%SystemRoot%system32
%APPDATA%MicrosoftProtectSETUP
%SystemRoot%system32gdi32.dll

Especificidad de los blancos de ataque

Los diversos grados de especificidad que usa Darkhotel para propagar su malware lo convierten en un actor muy inusual: “Esta amenaza opera lanzando ataques dirigidos precisos con exploits Flash avanzados para vulnerabilidades de día cero que evaden las últimas defensas de Windows y Adobe, y a la vez se propagan de forma imprecisa y masiva hacia objetivos indefinidos usando tácticas de difusión peer-to-peer”.

En otras palabras, sus gusanos se propagan de forma indiscriminada entre países, atacando a decenas de miles de sistemas, y el grupo es sorprendentemente abierto al respecto. Este también es el caso de la operación de KCNA, en la que el malware se dispone de forma tal que atrae a una audiencia específica con requisitos del sistema inusuales, a pesar de que está diseñado para propagarse de forma indiscriminada (mediante el mecanismo descrito abajo).

Modos de infección e inyección

Como las herramientas Darkhotel, el malware KCNA incluye código viral. La rutina se mantiene en el código fil.dll. Después de descansar por intervalos de pocos minutos, el código escudriña una y otra vez las unidades de disco adjuntas en busca de ejecutables para infectar. Infecta estos archivos con su shellcode explorador y el instalador @AE1.tmp. Es una estrategia de infección inusual –el shellcode de objetos binarios grandes (Blob) no devuelve el control al archivo original.

El comportamiento de inyección es a la vez intricado e indiscriminado, ya que el malware infecta tanto los ejecutables de los recursos compartidos de red como los locales. Por ejemplo, el tamaño de un instalador de Skype infectado en una unidad de red aumentó de sus 1.513 kb originales a 3.221 kb.

Se hicieron grandes avances, aunque poco elegantes, al aumentar la capacidad de inyección del malware para que pueda ir más allá de los simples ejecutables. Con esta intención, el malware instala una copia de la línea de comando de la versión 4.1.0 de WinRar (lanzada en enero de 2012) en %USERS%AppDataRoamingMicrosoftIdentitiesRar.exe. Este programa Winrar se usa para acceder a archivos ZIP, RAR, ISO y 7Z y así buscar en el contenido de cualquier ejecutable para realizar la infección. Los archivos comprimidos de los formatos mencionados que contienen ejecutables se infectan y se los vuelve a empaquetar con sus filenames originales, pero con sus nuevos contenidos ejecutables bajo el esquema Daws.awfy.

Nuestros productos detectan todos los archivos infectados resultantes como Trojan-Dropper.Win32.Daws.awfy. Este código viral afectó a muchas redes, y casi mil md5s únicos que representaban a archivos infectados relacionados en varios sistemas se registraron como “Trojan-Dropper.Win32.Daws.awfy”.

Victimología viral

Debido a la capacidad de difusión viral del programa malicioso, podemos distinguir los datos de propagación de la infección, que tienen una relación directa con el Flashplayer alojado en KCNA, que se han difundido en los recursos compartidos de red y dispositivos removibles. Aunque cada ítem de la lista representa a una organización o sistema único que detecta un grupo de archivos infectados virales KCNA en sus unidades de disco, el conteo total de archivos infectados es de casi 20.000 archivos. Al concentrarnos en la propagación de Daws.awfy, podemos apreciar el alcance del malware desde otro ángulo:

Es importante notar las condiciones particulares de Corea del Norte. En primer lugar, la limitación de espacio IP implica que múltiples sistemas únicos comparten la misma dirección IP -š en el caso de las víctimas de DPRK de arriba, el número se basa en sistemas únicos y no en direcciones IP únicas. En segundo lugar, atribuimos los números relativamente bajos de infecciones de redes a las políticas restrictivas que mantienen a muchos usuarios al margen de la red desde rangos de IP KP. Un infector viral de redes y USBs es una herramienta magnífica para un usuario malicioso que quiera usar los nuevos sistemas directos para infectar ordenadores en una intranet aislada, como la que conecta a la mayor parte de los ordenadores dentro de Corea del Norte. Pero este mismo aislamiento hace imposible cuantificar el éxito del malware dentro de esa intranet.

Marcas y líneas de tiempo

Marca de tiempo de la compilación del instalador de malware KCNA: Tue, 13 Mar 2012 02:24:49 GMT.
Marca de Tiempo de la compilación del ladrón de identidad Darkhotel: Mon, 30 Apr 2012 00:25:59 GMT.

También es interesante tomar en cuenta que una gran mayoría de los componentes del malware KCNA se compilaron a mediados de marzo de 2012.

El primer incidente que con la falsificación del instalador de Flash Player que nuestra KSN encontró data de 2012, pero ese método llegó a su punto más alto en 2013. El incidente de KCNA ocurre en el momento cumbre de este tipo de actividad ofensiva de Darkhotel.

Componentes notables

Además de la actualización de Flash Player legítima que está incluida entre sus archivos comprimidos, los componentes de puerta trasera que se descargan al disco y ejecutan están agrupados como componentes de Windows Live (como Defender, IM Messenger). Estos son los dos archivos más interesantes que se descargan:

78d3c8705f8baf7d34e6a6737d1cfa18,c:windowssystem32mscaps.exe
978888892a1ed13e94d2fcb832a2a6b5,c:windowssystem32wtime32.dll

Aquí se agregan al registro los ajustes de reinicio del componente mscaps.exe: šHKLMSOFTWAREMicrosoftActive SetupInstalled Components{a96adc11-e20e-4e21-bfac-3e483c40906e}, donde se establece como su subtrazado ‘”C:WINDOWSsystem32mscaps.exe”š /s /n /i:U shell32.dll’. Esta configuración asegura que cada vez que se abra o reinicie el shell explorer.exe, el ejecutable inyecte su código.

Otros análisis de este malware no mencionaron la presencia de madCodeHook, de Madshi. Es una inyección DLL comercial legítima y un marco de enganche api que en este caso se usa para inyectar el componente de spyware att.dll de forma específica en las siguientes aplicaciones de comunicaciones:

• Internet Explorer – iexplore.exe, ieuser.exe
• Mozilla Firefox, firefox.exe
• Google Chrome, chrome.exe
• Microsoft Outlook Express, msimn.exe
• Microsoft Outlook, outlook.exe
• Windows Mail, winmail.exe
• Windows Live Mail, wlmail.exe
• MSN Messenger, msnmsgr.exe
• Yahoo! Messenger, yahoomessenger.exe
• Windows FTP Client, ftp.exe

El gancho LoadLibraryExW se coloca aquí:

El gancho jmp aparece aquí:

Este es el bucle de análisis sintáctico de cadenas de caracteres relacionado:

Otros análisis indican que ws2_32.dll, o la biblioteca winsock2, se descarga en el disco y se copia a mydll.dll. Es posible que lo haga para mantener los ganchos Winsock2 estables en los sistemas operativos Windows. Algunos grupos madCodeHooks en el api Winsock2 tienen antecedentes de inestabilidad, por lo que los cibercriminales prefirieron incluir uno que sabían que no fallaría.

Esto implica un vuelco en la forma de trabajo, una disparidad clara. šLa biblioteca madCodeHook no se encontró en el malware Darkhotel.

El componente wtime32.dll se instala en el disco y se carga al inicio en explorer.exe. Después se inyecta en cada uno de los procesos que considera de su interés. Es un componente de bot muy interesante, que se comunica con sus tres dominios de comando y control para recibir órdenes. Mantiene 13 comandos de bot interactivos primitivos:

Su funcionalidad abarca tecnologías más antiguas que ya no se ven con facilidad. Además de que provee rutinas I/O para NTFS, FAT32, FAT16 y el filesystem FAT, también implementa la antigua rutina I/O FAT12. El acceso al disco sin procesar Windows95 se activa con CreateFileA en .vwin32 mediante la unidad virtual vwin32.

Por último, el malware KCNA tiene un truco único bajo la manga. Los componentes que instala pueden escanear las unidades de disco conectadas y los recursos de red para copiar sus contenidos y enviarles algo especial que le ayuda a propagarse. Es de esta forma tan cruda que este programa malicioso puede saltar entre redes separadas usando conexiones usb para infectar ejecutables y archivos comprimidos de dispositivos USB.

Conclusiones

El incidente de KCNA y la propagación de su bot viral deja en el aire más preguntas que respuestas. Sería simplista culpar a esta campaña por las operaciones de DPRK, y no es algo que estemos defendiendo aquí. Las posibilidades de que un virus de red interno se difunda o de que se comprometan sitios web mediante un ataque XSS son altas. La amenaza tiene algunas similitudes con las herramientas Darkhotel, como la configuración de redes, técnica de suplantación y el formato y selección de los datos que roba. Si ambas operaciones están relacionadas, las particularidades del malware KCNA demuestran que Darkhotel todavía podría tener algunos trucos bajo la manga.

Apéndice

Componentes que instala el malware KCNA

78d3c8705f8baf7d34e6a6737d1cfa18, mscaps.exe, Tue, 12 Apr 2011 09:15:59 GMT
978888892a1ed13e94d2fcb832a2a6b5, wtime32.dll, 213kb, Trojan.Win32.Agent.hwgw, CompiledOn:Wed, 29 Feb 2012 00:50:36 GMT
2d9df706d1857434fcaa014df70d1c66, arc.dll, 1029kb, Trojan.Win32.Agent.hwgw, CompiledOn:Tue, 13 Mar 2012 02:34:00 GMT
fffa05401511ad2a89283c52d0c86472, att.dll, 229KB, Trojan.Win32.Agent.hwgw, CompiledOn:Tue, 13 Mar 2012 02:24:32 GMT
1fcc5b3ed6bc76d70cfa49d051e0dff6, dis.dll, 120.kb, Trojan.Win32.Agent.hwgw, CompiledOn:Tue, 13 Mar 2012 02:24:36 GMT
d0c9ada173da923efabb53d5a9b28d54, fil.dll, 126kb, UDS:DangerousObject.Multi.Generic, CompiledOn:Tue, 13 Mar 2012 02:24:41 GMT
daac1781c9d22f5743ade0cb41feaebf, launch.exe, 172KB, HEUR:Trojan.Win32.Generic, CompiledOn:Tue, 13 Mar 2012 02:24:52 GMT
6a9461f260ebb2556b8ae1d0ba93858a, sha.dll, 89KB, Trojan.Win32.Agent.hwgw, CompiledOn:Tue, 13 Mar 2012 02:24:43 GMT
f1c9f4a1f92588aeb82be5d2d4c2c730, usd.dll, 99KB, Trojan.Win32.Agent.hwgw, CompiledOn:Tue, 13 Mar 2012 02:24:46 GMT
59ee2ff6dbac2b6cd3e98cb0ff581bdb, WdExt.exe, 1.66MB, Trojan.Win32.Agent.hwgw, CompiledOn:Tue, 13 Mar 2012 02:24:49 GMT
f415ea8f2435d6c9656cc6525c65bd3c, wtmps.exe, 1.94MB, Trojan-Dropper.Win32.Daws.awfy, CompiledOn:Mon, 05 Mar 2012 08:37:55 GMT

MD5s, dominios y detecciones relacionadas

Trojan.Win32.Agent.hwgw
78d3c8705f8baf7d34e6a6737d1cfa18, mscaps.exe
2d9df706d1857434fcaa014df70d1c66, arc.dll
1e7c6907b63c4a485e7616aa04351da7, @aedf66.tmp.exe
1fcc5b3ed6bc76d70cfa49d051e0dff6, dis.dll
523b4b169dde3bcab81311cfdee68e92, wdext.exe
541989816355fd606838260f5b49d931, wdext.exe
5e34f85278bf3504fc1b9a59d2e7479b, wdext.exe
6a9461f260ebb2556b8ae1d0ba93858a, sha.dll
78ba5b642df336009812a0b52827e1de, wdexe.exe
7f15d9149736966f1df03fc60e87b8ac, wdext.exe
7f3a38093bd60da04d0fa5f50867d24f
82206de94db9fb9413e7b90c2923d674
a59d9476cfe51597129d5aec64a8e422, @ae465f.tmp.exe
f1c9f4a1f92588aeb82be5d2d4c2c730, usd.dll
fffa05401511ad2a89283c52d0c86472, att.dll
d0c9ada173da923efabb53d5a9b28d54, fil.dll

Trojan-Dropper.Win32.Daws.awfy
2f7b96b196a1ebd7b4ab4a6e131aac58
8948f967b61fecf1017f620f51ab737d
…y casi 800 otros ejecutables que resultaron infectados en carpetas compartidas y discos conectados

c2 Domains
a.gwas.perl.sh,211.233.75.83
a-gwas-01.dyndns.org
a-gwas-01.slyip.net