Sony/Destover: El historial de destrucción del misterioso actor norcoreano

Esta semana, por primera vez, el FBI emitió una alerta “Flash” sobre las actividades de eliminación de datos de un troyano Limpiador (Wiper) que se está usando en los ataques a Sony Pictures Entertainment. Las muestras de este programa malicioso, conocido como Destover, contenían archivos de configuración creados en sistemas que usaban paquetes de idiomas en coreano.

Desde que se descubrieron los ataques ha salido a flote nueva información sobre el programa malicioso, pero algunos detalles, como los referidos a la actividad previa de los principales sospechosos, todavía se están evaluando.

Mientras Sony Pictures realiza su costosa limpieza en silencio y se prepara para lanzar la película “Una loca entrevista”, discutamos las actividades previas del grupo sospechoso y algunas de las características del programa, que tiene notorias similitudes con otros limpiadores.

Lo primero que llama la atención es que las actividades destructivas dirigidas a las redes de grandes organizaciones son cada vez más comunes. Aquí se discuten algunos programas limpiadores anteriores. La mayoría de estos casos ocurrió en Oriente Medio y la península de Corea. También encontramos un caso llevado a cabo por la APT BE2 que afectaba a ICS, del que se habla en mayor detalle aquí. No podemos ignorar la eliminación completa de datos de Code Spaces en Gran Bretaña, llevada a cabo por un cibercriminal que secuestró la información para extorsionar a sus dueños, como se cuenta aquí.

El programa malicioso que se usó en el ataque a Sony Entertainment se llama Trojan Destover y puede eliminar los datos almacenados en unidades de discos y registros de arranque principal (MBR).

Características del limpiador Destover

Los aspectos más interesantes de las características destructivas del malware son la selección y el almacenamiento/difusión de los controladores que ahora son comunes en estos ataques de sabotaje.

El instalador de malware Destover instala y ejecuta controladores EldoS RawDisk para evadir los permisos de seguridad NTFS y así poder sobrescribir los datos en el disco y el Registro de arranque principal. Esto tiene un impacto en la recuperación de datos. En el caso del malware DarkSeoul, los datos sobrescritos pueden restaurarse con un método similar al de recuperación de los datos “destruidos” por Shamoon. Es posible que se pueda recuperar los datos de Destover de la misma manera.

La cadena de componentes intermediarios que dirigen a la carga explosiva destructiva pasa por varias etapas (que ya se han descrito en otra parte) que pueden ejecutarse en diferentes modos, tal como lo hace Shamoon:

  1. El ejemplar se ejecuta por primera vez en un sistema operativo de 32 bits.
  2. El ejemplar se ejecuta en un sistema operativo de 32 bits como un servicio autoinstalable, con una o varias rutas de código.
  3. El ejemplar se ejecuta en un sistema operativo de 64 bits como un servicio autoinstalable.

En primera instancia, crea el servicio brmgmtsvc “Gestión de Copias de seguridad y Restauración” de Windows, añade su propio ejecutable y un interruptor “-i“. También descarga varias copias de sí mismo y ejecuta cada una de ellas con un interruptor diferente: -m, -d y -w.

-m (sobrescritura del MBR):
Intenta conectarse con las tres direcciones IP. La ejecución del proceso se lleva a cabo aunque no logre hacerlo.
Busca su recurso que contiene el controlador EldoS RawDisk y lo escribe en el directorio temporal como “usbdrv3.sys”.
Después, instala el controlador como el servicio usbdrv3 “USB 3.0 Host Controller”.
A continuación, inicia el servicio del controlador y cierra su identificador.
Después crea un identificador de archivos para el controlador con permisos de escritura:
‘?ElRawDisk??PhysicalDrive0#99E2428CCA4309C68AAF8C616EF3306582A64513E
55C786A864BC83DAFE0C78585B692047273B0E55275102C664C5217E76B8E67F35FCE385E43
28EE1AD139EA6AA26345C4F93000DBBC7EF1579D4F’
y escribe en el identificador con cadenas de caracteres de 64k de “0xAAAAAAAA”. ← el asunto de la gran extensión de la llave de licencia (#99E2428…) se explora en nuestra entrada del blog Shamoon el Limpiador: más detalles (Parte II).
Después crea nuevos subprocesos, cada uno de los cuales intenta conectarse a cualquier unidad conectada y sobrescribirla.

-d (sobrescritura de datos):
Intenta conectarse con las tres direcciones IP. Una vez más, se lleva a cabo una ejecución de procesos aunque no logre establecer una comunicación.
Consigue las unidades lógicas y las atraviesa recursivamente, identificando todos los archivos de datos. Si no es un proceso .exe o .dll, sobrescribe los contenidos del archivo con “0x0df0adba” en un fragmento de 20k. La sobrescritura se completa desde el modo de usuario, sin los controladores EldoS.
Después, trata de eliminar los archivos de datos usando el api win32 “DeleteFileW”. Mientras realiza su acción recursiva a través de todos los directorios del sistema, intenta eliminar los archivos .exe y .dll.

-w (servidor web):
Intenta conectarse con las tres direcciones IP. Una vez más, se lleva a cabo una ejecución de procesos aunque no logre establecer una comunicación.
Detiene Terminal Services de Windows desde la línea cmd: ‘cmd.exe /c net stop termservice /y’
Después encuentra resource#85, lo descomprime y escribe sus contenidos en “c:windowsiissvr.exe“.
Ejecuta el proceso iisvr.exe y se retira.
Iisvr es lo que parece: un servidor web que tiene un archivo cifrado JPG, HTML y WAV. Espía el Puerto 80 y le entrega estos archivos. La alerta verde con todos los gráficos puede encontrarse más adelante en el artículo. Este es el jpg descifrado:

Por último, después de dos horas de sueño, el servicio original reinicia el equipo con una llamada a ExitWindowsEx(EWX_REBOOT|EWX_FORCE, 0). Esto obliga a una salida pero retrasa el apagado en sí mientras se mantenga el estado de creación de archivos de sistema.

Similitudes entre los limpiadores

Como Shamoon, los controladores del limpiador Destover son archivos de EldoS RawDisk disponibles de forma comercial.

Al igual que Shamoon, los controladores del limpiador Destover se mantienen en la sección de recursos del instalador de malware.

Shamoon y el limpiador DarkSeoul tienen en común que ambos incluyen vagos mensajes pseudo-políticos cifrados para sobrescribir los datos del disco y el Registro de Arranque Maestro (MBR).

Así como DarkSeoul, los ejecutables del limpiador Destover se compilaron en algún momento entre las 48 horas previas y el día del ataque. Es muy improbable que los atacantes hayan lanzado ataques phishing dirigidos a una cantidad grande de usuarios, y muy posible que hayan conseguido acceso completo a la red entera antes del ataque.

Los componentes de Shamoon se compilaron en un periodo de tiempo igual de limitado antes de propagarse. Las marcas de tiempo CompiledOn indican que se crearon alrededor de cinco días antes de que se detonasen sus ejecutables. Casi todos se compilaron el 10 de agosto de 2012 (entre las 00:17:23 y las 02:46:22) y debían detonarse el 15 de agosto de 2012. Es una brecha muy corta de tiempo para desplegar estos binarios, considerando las decenas de miles de equipos que se destruyeron con este ataque.

En los tres casos: Shamoon, DarkSeoul y Destover, los grupos que se hicieron cargo de la destrucción de los programas en las grandes redes no tenían una historia real ni una identidad propia. Todos hicieron un esfuerzo por desaparecer después de actuar, ninguno hizo declaraciones coherentes, sólo acusaciones extrañas y llenas de rodeos sobre conductas criminales, e instigaron sus actos destructivos justo después de un acontecimiento político que se sugirió como el eje del conflicto.

Las imágenes de los grupos “Whois” de DarkSeoul y “GOP” de Destover incluyen una declaración “Hackeado por” acompañado por una “advertencia” y amenazas sobre los datos robados. Ambos amenazaron con su retorno diciendo que éste era sólo el inicio. Parece que el mismo dibujo de un esqueleto se incluyó en ambos ataques.

Gráficos y advertencia de Whois:

Gráficos y advertencia de GOP:

Las diferencias entre los ataques de los limpiadores Destover y DarkSeoul incluyen la falta de scripts *nix para eliminar particiones en sistemas Linux.

Por supuesto, estas similitudes no prueban que el grupo responsable de los ataques de Shamoon sea el mismo que el de DarkSeoul y Destover. Pero hay que notar que los actos reaccionarios y las características de las herramientas y operaciones del grupo tienen similitudes muy marcadas. Es extraordinario que actos tan inusuales y concentrados de destrucción virtual a gran escala se estén llevando a cabo con similitudes tan fáciles de reconocer.

Actividad de redes

Los destinos señalados se publicaron como:

  • 88.53.215.64
  • 217.96.33.164
  • 203.131.222.102

Pero ejemplares con una relación directa llaman a otras direcciones IP. Los datos de la Kaspersky Security Network (KSN) indican que ninguna de estas direcciones difundía programas maliciosos en el pasado:

  • 58.185.154.99
  • 200.87.126.116
  • 208.105.226.235
  • 212.31.102.100

Las conexiones parecen arbitrarias e inconsecuentes con la ejecución del paquete malicioso. Algunas ni siquiera están activas en la actualidad. Todas estas IPs parecen seleccionadas de una forma extraña.

Se sabe que algunas de estas direcciones han realizado análisis RDP hace poco. A finales de 2012, 217.96.33.164 era conocido por hacer escaneos de RDP con fuerza bruta. El servidor está alojado en una dirección IP en Polonia desde 1996.

A principios de 2014, 88.53.215.64 estaba alojado en Italia y funcionaba como un servidor proxy “Hide My Ass” Premium y gratuito en el Puerto 443. El malware trata de conectarse al servidor en los puertos 8000 y 8080, y en la actualidad no tiene recursos disponibles.

200.87.126.116 también funcionaba como un proxy SOCKS gratuito en 2011 y 2012. Los spammers y estafadores de SEO utilizaban este tipo de recursos con frecuencia para lanzar sus ataques.

Puertas traseras anteriores

Las operaciones de DarkSeoul tienen vínculos con varias familias de troyanos y puertas traseras que se han estado usando a lo largo de muchos años. Algunos vínculos son mucho más fuertes que otros:

  • Concealment Troy
  • DarkSeoul
  • HttpDr0pper
  • HttpTroy
  • TDrop

MD5s de Destover

Troyanos:

MD5 Tamaño Fecha de compilación Nombre de Kaspersky
d1c27ee7ce18675974edf42d4eea25c6 262 kb 2014.11.22 00:06:54 Trojan.Win32.Destover.a
2618dd3e5c59ca851f03df12c0cab3b8 430 kb 2014.11.22 00:05:02 Trojan.Win32.Destover.d
760c35a80d758f032d02cf4db12d3e55 244 kb 2014.11.22 04:11:08 Trojan.Win32.Destover.c
b80aa583591eaf758fd95ab4ea7afe39 304 kb 2014.11.24 04:12:55 Trojan.Win32.Destover.b
e1864a55d5ccb76af4bf7a0ae16279ba 112 kb 2014.11.13 02:05:35 Backdoor.Win32.DestoverServ.a
a3fa8c7eb4f061ab8b9f7829c6741593 111 kb 2014.05.03 07:10:22 Trojan.Win32.Destover.f
2c545b89acdb9877da5cbb96653b1491 53 kb 2014.07.14 13:38:18 Trojan.Win32.Destover.e
e904bf93403c0fb08b9683a9e858c73e 90 kb 2014.07.07 08:01:09 Trojan.Win32.Destover.d

Controladores Eldos:

6aeac618e29980b69721158044c2e544 (32 bits), firmado por EldoS Corporation
86e212b7ec20fc406c692400294073ff (64 bits), firmado por EldoS Corporation

Certificado (6aeac618e29980b69721158044c2e544 32-bit y
86e212b7fc20fc406c692400294073ff 64-bit):

Investigaciones previas y paralelas

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *