Operación Epic Turla: Resolviendo algunos misterios de Snake/Uroburos

Technical Appendix with IOCs (eng)

Resumen ejecutivo

En los últimos 10 meses, los investigadores de Kaspersky Lab han estado analizando una gran operación de ciberespionaje que hemos denominado “Epic Turla”. Los atacantes de Epic Turla han infectado varios cientos de ordenadores en más de 45 países, incluyendo los de instituciones gubernamentales, embajadas, ejércitos, entidades educativas, centros de investigación y compañías farmacéuticas.

Según la información que tenemos hasta el momento, los ataques se realizaron utilizando al menos dos exploits del día cero:

• CVE-2013-5065 – Vulnerabilidad de elevación de privilegios en Windows XP y Windows 2003
• CVE-2013-3346 – Vulnerabilidad de ejecución remota de códigos arbitraria en Adobe Reader

También hemos visto que los ataques utilizan exploits contra vulnerabilidades más antiguas y parchadas, técnicas de ingeniería social y estrategias de pozo de agua (watering hole). La puerta trasera principal que se usó en los ataques de Epic se conoce también como “WorldCupSec”, “TadjMakhal”, “Wipbot” o “Tavdig”.

Cuando G-Data publicó información sobre Turla/Uroburos en febrero, muchas cuestiones quedaron en el aire. Uno de los grandes misterios era el vector de infección de Turla (también conocido como Snake o Uroburos). Nuestro análisis indica que se infecta a las víctimas mediante un complicado ataque de múltiples etapas que comienza con Epic Turla. Después, cuando los atacantes están más confiados, se emplean puertas traseras más complejas, como el sistema Carbon/Cobra. A veces, ambas puertas traseras se ejecutan al mismo tiempo y se usan para “rescatarse” la una a la otra si se corta la comunicación con alguna de ellas.

Cuando los atacantes consiguen las credenciales necesarias a escondidas de sus víctimas, despliegan el rootkit y otros mecanismos extremos para mantenerse en el sistema.

Estos ataques seguían ejecutándose todavía en julio 2014, afectando a los usuarios de Europa y el Oriente Medio.

Nota: Los subscriptores de Kaspersky Intelligent Services tienen a su disposición un análisis completo de los ataques de Epic. Contacto: intelreports@kaspersky.com

Los ataques de Epic Turla

Los ataques de esta operación pertenecen a diferentes categorías según el vector que se usó para comprometer el primer sistema:

• Correos electrónicos de phishing dirigido (spearphishing) con exploits de Adobe PDF (CVE-2013-3346 + CVE-2013-5065)
• Ingeniería social para engañar al usuario y hacer que ejecute instaladores de malware con extensión “.SCR”, a veces empaquetados con RAR
• Ataques de pozo de agua usando exploits para Java (CVE-2012-1723), para Flash (desconocidos) o para Internet Explorer 6,7,8 (desconocidos)
• Ataques de pozo de agua que dependen de tácticas de ingeniería social para engañar al usuario y convencerlo de que ejecute instaladores de malware pensando que es un reproductor de Flash

Los atacantes usan ataques spearphishing y de pozo de agua para infectar a sus víctimas. Los pozos de agua (waterholes) son sitios web de interés para las víctimas que los atacantes han comprometido e inyectado para que propaguen códigos maliciosos.

Todavía no hemos conseguido ningún correo electrónico que se haya enviado a las víctimas, sólo los archivos adjuntos. Los PDF adjuntos no muestran nada especial para tentar a la víctima cuando los abre, pero los paquetes SCR a veces muestran un PDF limpio después de instalarse.

Éstos son algunos de los nombres de los archivos adjuntos que se usan en los ataques spearphishing:

• ؤتمر جنيف.rar (traducción del árabe: “Conferencia de Ginebra.rar”)
• NATO position on Syria.scr (Postura de la OTAN en Siria.scr)
• Note_№107-41D.pdf (Nota_№107-41D.pdf)
• Talking Points.scr (Puntos de discusión.scr)
• border_security_protocol.rar (protocolo_de_seguridad_fronteriza.rar)
• Security protocol.scr (Protocolo de seguridad.scr)
• Program.scr (Programa.scr)

Algunos nombres de los archivos pueden dar una idea sobre el tipo de víctimas que los atacantes tienen en la mira.

Los ataques de pozo de agua

Los atacantes de Epic están utilizando una amplia red de ataques de pozo de agua que apuntan al usuario con precisión quirúrgica.

Algunos de los sitios web inyectados son:

El sitio web del Ayuntamiento de Piñor, España

Sitio web que promueve el espíritu emprendedor en la zona fronteriza de Rumania

Ministerio de Asuntos Exteriores de Palestina

En total, encontramos más de 100 sitios web inyectados. Por ahora, Rumania aloja la mayor cantidad de sitios afectados.

A continuación están las estadísticas de los sitios inyectados:

La distribución no es aleatoria y refleja algunos de los intereses de los atacantes. Por ejemplo, muchos de los sitios infectados en Rumania son de la región de Mures, mientras que muchos de los sitios infectados en España pertenecen a gobiernos locales (ayuntamientos).

La mayoría de los sitios infectados usan el TYPO3 CMS (ver: http://typo3.org/), lo que podría ser un indicio de que los atacantes están explotando una vulnerabilidad específica en esta plataforma.

Los sitios web inyectados cargan un JavaScript de forma remota en el navegador de la víctima.

El script “sitenavigatoin.js” es un navegador Pinlady-style y script de detección de complementos que, a su vez, redirige a un script PHP que a veces se llama main.php o wreq.php. A veces, los atacantes registran la extensión .JPG con el gestor PHP en el servidor, usando archivos “JPG” para ejecutar scripts PHP:

Script de análisis de comportamientos

El script de explotación principal: “wreq.php”, “main.php” o “main.jpg” realiza una serie de tareas. Hemos visto varias versiones de este script que tratan de poner en efecto varios mecanismos de explotación.

Una versión de este script intenta explotar las versiones 6, 7 y 8 de Internet Explorer.

Script para explotar Internet Explorer

Por desgracia, no pudimos conseguir muestras de los exploits de Internet Explorer.

Otra versión más reciente trata de explotar Oracle Sun Java y Adobe Flash Player.

Scripts de explotación de Java y Flash Player

Aunque no pudimos conseguir ejemplares de los exploits de Flash Player, logramos conseguir los de Java:

Los archivos Java explotan una vulnerabilidad popular, CVE-2012-1723, en varias configuraciones.

Los exploits de Java atacan con la siguiente carga explosiva:

El exploit de Java usa un cargador especial para inyectar la carga explosiva final de la puerta trasera Epic en explorer.exe. La puerta trasera que se extrae de los exploits Java tiene el siguiente C&C incrustado en el interior del código:

Por ahora, el C&C sigue activo, pero redirige a una página suspendida en “hxxp://busandcoachdirectory.com[.]au“. Puedes encontrar una lista completa de los servidores C&C en el Apéndice.

Los atacantes de Epic Turla son muy dinámicos al usar exploits y diferentes métodos de infección dependiendo de qué esté a su disposición en el momento. Hace poco, los vimos usando otra técnica que combinaban con ataques pozo de agua, que usa la ingeniería social para inducir al usuario a ejecutar un Flash Player falsificado (MD5: 030f5fdb78bfc1ce7b459d3cc2cf1877):

En por lo menos un caso, trataron de hacer que el usuario descargase y ejecutase una aplicacion falsificada Microsoft Security Essential (MD5: 89b0f1a3a667e5cd43f5670e12dba411):

La aplicación falsa está firmada con un certificado digital válido de Sysprint AG:

Número de serie: ‎00 c0 a3 9e 33 ec 8b ea 47 72 de 4b dc b7 49 bb 95
Huella digital: ‎24 21 58 64 f1 28 97 2b 26 22 17 2d ee 62 82 46 07 99 ca 46

Firma válida de Sysprint AG en el dropper de Epic

Este archivo se estaba distribuyendo en el sitio web del Ministerio de Asuntos Externos de Tayikistán, “hxxp://mfa[.]tj/upload/security.php“.

El archivo es una aplicación .NET que contiene un recurso cifrado. Así se propaga el archivo malicioso con el MD5 7731d42b043865559258464fe1c98513.

Esta es una puerta trasera de Epic que conecta con los siguientes C&Cs, con una identificación interna de 1156fd22-3443-4344-c4ffff:

Puedes encontrar una lista completa de las URL de los servidores C&C en el Apéndice.

La infraestructura de comando y control de Epic

Una gran red de servidores comprometidos controla y gestiona las órdenes que se envían a las puertas traseras de Epic.

La gran red que manejan los atacantes de Epic Turla cumple varios propósitos. Por ejemplo, el servidor madre funciona como sitios de explotación y como panel de comando y control del programa nocivo.

Here’s how the big picture looks like:

Ciclo de vida de Epic Turla

El primer nivel de proxis de comando y control se comunica con un segundo nivel de proxis que, a su vez, están conectados con el servidor “madre”. El servidor madre casi siempre es un VPS, que ejecuta el programa del panel de control que sirve para interactuar con las víctimas. Los atacantes operan el servidor madre usando una red de proxis y servidores VPN para mantener el anonimato. El servidor “madre” también funciona como un servidor de explotación para los ataques de pozo de agua y propagación de aplicaciones falsas de Java o IE.

Conseguimos una copia de uno de los servidores madre, que nos dio una idea más clara de la operación.

Ejecuta un panel de control que está protegido por contraseña:

Ventana de inicio de sesión del panel de control del servidor madre de Epic

Al conectarse al panel de control, los atacantes pueden tener un vistazo general del sistema, incluyendo la cantidad de víctimas potenciales:

Resumen del estado del panel de control de Epic

Un archivo muy interesante de los servidores es task.css, en el que los atacantes definen los rangos de IP que les interesan. Para modificar el archivo, usan el editor de tareas, “Task editor”, del menú. Después deciden si infectar o no al visitante dependiendo de la “tarea”. En este caso, vimos que tenían como blanco a dos grupos de víctimas:

• “País A” – Red Federal del Gobierno
• “País B” – Red de Servicios de Telecomunicación e Informática del Gobierno

Hay que aclarar que el que se haya lanzado ataques no significa que las víctimas se hayan infectado. También se encontraron otras IPs desconocidas entre los objetivos de los ataques.
Se observaron además algunas IPs desconocidas.

Asimismo, hay un archivo “except.css“, en el que los atacantes explican por qué no intentaron explotar a algunos visitantes. Hay tres valores posibles:

• TRY (intentar)
• DON’T TRY (no intentar) -> Versión del navegador y sistema operativo no cumplen con los requisitos
• DON’T TRY(no intentar) -> (2012-09-19 10:02:04) – checktime < 60

Estas son las razones por las que algunos sistemas “no cumplen con los requisitos” según los informes:

• Windows 7 or 2008 R2
• MSIE 8.0
• Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 1.1.4322; .NET4.0C; .NET4.0E)
• Adobe Shockwave 11.5.1.601
• Adobe Flash 10.3.181.14
• Adobe Reader 10.1.0.0
• Win Media Player 12.0.7601.17514
• Quick Time inválido
• MS Word inválido
• Java inválido

La puerta trasera Epic / Tavdig / Wipbot

En esta primera etapa del ataque se emplea una puerta trasera personalizada. En algunos casos, la puerta trasera está con una densa ofuscación y empaquetada con el exploit de elevación de privilegio (EoP) CVE-2013-5065. Esto dificulta el análisis.

El exploit CVE-2013-5065 hace que la puerta trasera pueda conseguir privilegios de administrador en el sistema y ejecutarse sin restricciones. Este exploit sólo funciona en sistemas sin parches de Microsoft Windows XP.

Esta puerta trasera también recibe los nombres Trojan.Wipbot (Symantec) y Tavdig.

La puerta trasera principal es de alrededor de 60 KB e implementa un protocolo C&C además de las solicitudes HTTP normales. El protocolo de comunicación emplea solicitudes en las respuestas del C&C, que el malware descifra y procesa. Las respuestas se envían al C&C por el mismo medio.

Un bloque de configuración define el comportamiento del programa malicioso. El bloque por lo general contiene dos URLs de Comando & Control. También vimos un caso en el que el bloque de configuración contenía una sola URL. Los atacantes también pueden actualizar la configuración al vuelo mediante el C&C.

La puerta trasera trata de identificar los siguientes procesos y, si los encuentra, se cierra a sí misma.

• tcpdump.exe
• windump.exe
• ethereal.exe
• wireshark.exe
• ettercap.exe
• snoop.exe
• dsniff.exe

Contiene una identificación interna única, que se usa para identificar a la víctima del C&C. La mayoría de los ejemplares, en especial los más viejos, tienen la identificación 1156fd22-3443-4344-c4ffff. Cuando se confirma que una víctima es “interesante”, los atacantes suben otra puerta trasera Epic que tiene una identificación única usada para controlar a esa víctima en particular.

Durante la primera llamada de la red C&C, la puerta trasera envía un paquete con la información del sistema de la víctima. Toda la información adicional enviada al C&C se cifra con un marco de llave pública, haciendo que sea imposible descifrarla. Los comandos del C&C están cifrados de una manera sencilla y pueden descifrarse si se los intercepta porque la llave secreta está integrada en el código del malware.

Al monitorizar la situación pudimos capturar muchas de las órdenes que los atacantes enviaron a las víctimas, lo que nos dio una perspectiva única de su operación. A continuación puedes ver una de las respuestas cifradas del servidor:

Cuando la víctima está infectada e “inicia sesión” en el servidor, los atacantes envían una serie de comandos predeterminados:

Después, los atacantes tratan de moverse en la red de la víctima usando contraseñas predefinidas o recolectadas:

También suelen listar todos los archivos .doc:

Hemos decodificado cientos de los paquetes de comando que se enviaron a las víctimas, lo que nos dio una perspectiva única del trabajo interno de los atacantes.

También hemos observado búsquedas muy específicas de documentos. Estos son algunos de los archivos que busca:

• *NATO*.msg
• eu energy dialogue*.*
• EU*.msg
• Budapest*.msg

En este caso, a los atacantes les interesaba encontrar correos relacionados con la “OTAN”, “Diálogos energéticos en la Unión Europea”, etc.

Los atacantes implementaron cifrados RSA en los registros de algunos servidores de comando y control, por lo que es imposible descifrarlos. Este esquema se implementó en abril 2014.

Movimiento lateral y actualización a puertas traseras más sofisticadas

Cuando la víctima ya está comprometida, los atacantes suben varias herramientas que usan para realizar movimientos laterales.

Esta es una de las herramientas que cumplía este propósito en los ataques y se guardó como “C:Documents and SettingsAll usersStart MenuProgramsStartupwinsvclg.exe“:

Es un capturador de teclado (keylogger) que crea el archivo %temp%~DFD3O8.tmp. Nota: El nombre del archivo puede variar. En un sistema afectado del Ministerio de Asuntos Exteriores de un país asiático, se utilizó el nombre de archivo “adobe32updt.exe“.

Además de estas herramientas personalizadas, los atacantes emplean herramientas de administración estándar. Por ejemplo, otra herramienta que los atacantes suben a menudo al equipo de la víctima es “winrs.exe”:

Es un binario empaquetado con UPX que contiene la herramienta legítima “dnsquery.exe” de Microsoft, MD5 desempaquetado: c0c03b71684eb0545ef9182f5f9928ca.

Pudimos ver una actualización interesante en muchos casos: un malware de una familia diferente pero relacionada.

Otro ejemplo:

Esta puerta trasera es más sofisticada y pertenece al próximo nivel de herramientas de ciberespionaje, y los atacantes de Turla se refieren a ella como el “Carbon system” o Cobra. Existen varios complementos para “Carbon system”.

Configuración decodificada de e9580b6b13822090db018c320e80865f

Nota: Kaspersky Lab ha aislado en un sinkhole los sitios www.losguayaberos[.]com y thebesttothbrushes[.]com.

Entre otros se enviaron estos paquetes a las víctimas:

Estos paquetes de nivel superior despliegan puertas traseras de Epic actualizadas y de Turla Carbon system a las víctimas confirmadas para conectar ambas operaciones.

El dropper Turla Carbon de este paquete tiene las siguientes propiedades:

Los autores lo llaman “Carbon System”, parte del proyecto “Cobra”, como puede verse en la ruta de depuración en su interior:

Funciona como un lanzador (dropper) de los siguientes módulos, en 32 y 64 bits:

El sistema Carbon es, en esencia, una plataforma expandible, muy similar a otras plataformas de ataque como Tilded o Flame. Los complementos para el Carbon system pueden reconocerse con facilidad porque siempre tienen al menos dos exportaciones llamadas:

• ModuleStart
• ModuleStop

Complemento de Carbon system con sus exportaciones características

Hay muchas otras puertas traseras de Epic que parecen diseñadas para funcionar también como complementos de Carbon system – requieren un cargador especializado para iniciar en los sistemas de la víctima que no utilizan Carbon system.

Algunos módulos tienen artefactos que indican que Carbon system ya tiene una versión 3.x, aunque rara vez se indica su versión exacta en los ejemplares:

El autor del módulo de Carbon de arriba también puede verse en el código, como “gilg”, que también ha escrito muchos otros módulos de Turla.

Pensamos informar con más detalle sobre el Carbon system de Turla en otro informe.

Artefactos del idioma

La carga explosiva que se consiguió de uno de los servidores madre (en newsforum.servehttp[.]com/wordpress/wp-includes/css/img/upload.php, MD5: 4dc22c1695d1f275c3b6e503a1b171f5, Compilado: Thu Sep 06 14: 09: 55 2012) contiene dos módulos, un cargador/inyector y una puerta trasera. Los atacantes llaman de forma interna “Zagruzchick.dll” a la puerta trasera.

En ruso, esto significa “cargador de inicio”.

El panel de control del servidor madre de Epic también establece el idioma a codepage “1251”:

Codepage 1251 se suele usar para presentar caracteres cirílicos.

Los errores gramaticales también indican que los atacantes no son angloparlantes nativos:

• Password it?s wrong!
• Count successful more MAX
• File is not exists
• File is exists for edit

El ejemplar e9580b6b13822090db018c320e80865f que se envió a varias víctimas de Epic como una puerta trasera actualizada, tiene el código de compilación de idiomas de la página definido en “LANG_RUSSIAN”.

El atacante que está a cargo de la operación de “Epic” usa en su mayoría servidores comprometidos para alojar sus proxis. Se controlan los servidores usando una webshell PHP. El Shell está protegido por una contraseña que se compara con un hash MD5:

Kaspersky Lab ha descifrado el MD5 “af3e8be26c63c4dd066935629cf9bac8” como la contraseña “kenpachi”. En febrero 2014 notamos que la amenaza Miniduke empleaba la misma puerta trasera en sus servidores comprometidos, aunque con una contraseña mucho más resistente.

Una vez más, vale la pena recalcar el uso de Codepage 1251 en el webshell, que se usa para presentar caracteres cirílicos.

Turla y Miniduke tienen muchas cosas en común, pero dejamos ese tema para una entrada del blog futura.

Estadísticas de las víctimas

Pudimos identificar estadísticas detalladas de las víctimas en algunos de los servidores C&C usados en los ataques de Epic, que los atacantes habían guardado para facilitar la depuración.

Esta es la distribución por países del top 20 de países afectados según la dirección IP de la víctima:

La información pública disponible para las IPs de las víctimas indica que los blancos de “Epic” pertenecen a las siguientes categorías:

• Gobierno
• Ministerio del Interior (país de la Unión Europea)
• Ministerio de Comercio (país de la Unión Europea)
• Ministerio de asuntos exteriores (país asiático, país de la Unión Europea)
• Inteligencia (Oriente Medio, país de la Unión Europea)
• Embajadas
• Ejército (país de la Unión Europea)
• Educación
• Investigación (Oriente Medio)
• Compañías farmacéuticas
• Desconocido (imposible de determinar con las IPs y datos existentes)

Resumen

Cuando G-Data publicó su informe sobre Turla, ofreció poca información sobre cómo se propagaba la infección. Nuestro análisis indica que es una infección sofisticada que consiste en múltiples etapas, comenzando con Epic Turla. Esta primera etapa sirve para afianzarse y validar a la víctima de alto perfil. Si la víctima es interesante, se la ataca con el sistema Turla Carbon.

Hace poco, el 5 de agosto de 2014, un usuario de Kaspersky Lab recibió este ataque, lo que indica que la operación sigue fresca y activa.

Nota: Los subscriptores de Kaspersky Intelligent Services tienen a su disposición un análisis completo de los ataques de Epic. Contacto: intelreports@kaspersky.com

We would like to add the following at the end of the blogpost, right before the detection names:

Lectura complementaria

Si quiere leer mas sobre Turla/Uroburos, le recomendamos:

• Informe de G-Data “Uroburos Highly complex espionage software with Russian roots”
• Análisis de BAE Systems sobre “The Snake campaign”
• “Uroburos: the snake rootkit”, análisis técnico por deresz y tecamac
• “TR-25 Analysis – Turla / Pfinet / Snake/ Uroburos” por CIRCL.LU

Estos son los nombres con que los productos de Kaspersky Lab detectan todos los módulos mencionados en la entrada del blog::

Backdoor.Win32.Turla.an
Backdoor.Win32.Turla.ao
Exploit.JS.CVE-2013-2729.a
Exploit.JS.Pdfka.gkx
Exploit.Java.CVE-2012-1723.eh
Exploit.Java.CVE-2012-1723.ou
Exploit.Java.CVE-2012-1723.ov
Exploit.Java.CVE-2012-1723.ow
Exploit.Java.CVE-2012-4681.at
Exploit.Java.CVE-2012-4681.au
Exploit.MSExcel.CVE-2009-3129.u
HEUR:Exploit.Java.CVE-2012-1723.gen
HEUR:Exploit.Java.CVE-2012-4681.gen
HEUR:Exploit.Java.Generic
HEUR:Exploit.Script.Generic
HEUR:Trojan.Script.Generic
HEUR:Trojan.Win32.Epiccosplay.gen
HEUR:Trojan.Win32.Generic
HackTool.Win32.Agent.vhs
HackTool.Win64.Agent.b
Rootkit.Win32.Turla.d
Trojan-Dropper.Win32.Dapato.dwua
Trojan-Dropper.Win32.Demp.rib
Trojan-Dropper.Win32.Injector.jtxs
Trojan-Dropper.Win32.Injector.jtxt
Trojan-Dropper.Win32.Injector.jznj
Trojan-Dropper.Win32.Injector.jznk
Trojan-Dropper.Win32.Injector.khqw
Trojan-Dropper.Win32.Injector.kkkc
Trojan-Dropper.Win32.Turla.b
Trojan-Dropper.Win32.Turla.d
Trojan.HTML.Epiccosplay.a
Trojan.Win32.Agent.iber
Trojan.Win32.Agent.ibgm
Trojan.Win32.Agentb.adzu
Trojan.Win32.Inject.iujx
Trojan.Win32.Nus.g
Trojan.Win32.Nus.h

The technical Appendix (eng)