Informes sobre APT

La operación ‘Octubre Rojo’

Índice

Una campaña de ciberesionaje ha logrado infiltrarse en redes informáticas de organizaciones diplomáticas, gubernamentales y de investigaciones científicas durante los últimos cinco años para recolectar datos e inteligencia de dispositivos móviles, sistemas informáticos y equipos de redes.

Los investigadores de Kaspersky Lab han pasado muchos años analizando este malware, que se enfoca en organizaciones de Europa del Este, ex miembros de la Unión Soviética y países de Asia Central, pero también tiene víctimas en Europa Occidental y América del Norte.

La campaña, identificada como “Rocra”, abreviación de “Red October” (“Octubre Rojo” en inglés), sigue activa y está enviando datos a múltiples servidores de comando y control mediante una configuración con complejidad comparable a la del malware Flame. Los datos de registro usados para la compra de los nombres de dominio C&C y marcas de tiempo PE de los ejecutables que conseguimos sugieren que los ataques se están realizando desde mayo de 2007.

Algunos descubrimientos clave de nuestra investigación:

  • Los atacantes han estado activos hace por lo menos cinco años, concentrándose en agencias diplomáticas y gubernamentales de muchos países del mundo. Reúsan la información que obtienen de las redes infectadas en ataques posteriores. Por ejemplo, las credenciales robadas se compilaron en una lista y utilizaron cuando los atacantes necesitaban adivinar contraseñas y credenciales de redes en otras ubicaciones. Los atacanes crearon más de 60 nombres de dominio y muchas ubicaciones de alojamiento en diferentes países (principalmente Alemania y Rusia) para controlar la red de equipos infectados. La infraestructura C&C es en realidad una cadena de servidores que trabaja como proxies y esconde la ubicación del verdadero servidor de comando y control “madre”.
  • Los atacantes crearon un marco multifuncional que puede aplicar extensiones rápidas de las funcionalidades que recolectan inteligencia. El sistema es resistente a la pérdida de servidores C&C y permite que el atacante recupere el acceso a los equipos infectados mediante canales de comunicación alternativos.
  • Además de los blancos de ataques tradicionales (estaciones de trabajo), el sistema puede robar datos de dispositivos móviles como smartphones (iPhone, Nokia, Windows Mobile); descargar la configuración de equipos de redes corporativas (Cisco); secuestrar archivos de discos removibles (incluyendo los archivos eliminados, mediante un procedimiento de recuperación de datos); robar las bases de datos de correo electrónico del almacenamiento de Outlook local o un servidor POP/IMAP remoto; y extraer archivos de servidores FTP de redes locales.
  • Hemos notado que se usan al menos tres exploits diferentes para vulnerabilidades que antes se desconocían: CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) y CVE-2012-0158 (MS Word). Los ataques más antiguos empleaban el exploit para MS Excel, y se realizaron entre 2010 y 2011. Los que atacaban las vulnerabilidades de MS Word aparecieron a mediados de 2012.

  • Otros atacantes crearon los exploits de los documentos que se usaron en ataques phishing dirigidos (“spear phishing”) y los utilizaron en ciberataques diferentes, dirigidos a activistas tibetanos, a blancos militares y a responsables de la administración de energía en Asia. Lo único que cambió es el ejecutable incrustado en el documento; los atacantes lo reemplazaron con su propio código.


    Muestra de una imagen falsa que se usó en uno de los ataques “spear phishing” de Rocra

  • Durante el movimiento lateral dentro de una red de la víctima, los atacantes despliegan un módulo para analizar la red de área local y encontrar alojamientos vulnerables a MS08-067 (la vulnerabilidad que explota Conficker) o a los que se pueda acceder con las credenciales de administrador de su propia base de datos de contraseñas. Se usa otro módulo para recolectar información que permita infectar a alojamientos remotos en la misma red.
  • Basados en los datos de registro de los servidores C&C y en muchos objetos que se dejaron en los ejecutables del malware, estamos casi seguros de que los atacantes hablan ruso. Hasta hace poco se desconocían los atacantes actuales y los ejecutables que habían desarrollado, nunca se habían relacionado con ningún otro ataque cibernético dirigido. También hay que notar que uno de los comandos en el troyano “dropper” cambia el codepage del equipo infectado a 1251 antes de la instalación. Esto es necesario para acceder a los archivos y directorios que tienen nombres escritos con caracteres cirílicos.

Preguntas frecuentes sobre Rocra:

¿Qué es Rocra? ¿De dónde proviene su nombre? ¿Ataca la Operación Rocra a industrias, organizaciones o regiones geográficas específicas?

Rocra, que proviene de “Red October” (Octubre Rojo en inglés), es una campaña de ataque dirigido que se ha estado llevando a cabo desde hace por lo menos cinco años. Ha infectado a miles de víctimas en todo el mundo que pertenecen a siete categorías principales:

  1. Gobierno
  2. Diplomáticos / embajadas
  3. Instituciones de Investigación
  4. Comercio y negocios
  5. Investigación nuclear / energética
  6. Compañías petroleras
  7. Agencias aeroespaciales

Es posible que también existan otros sectores que todavía no se han descubierto o se hayan atacado en el pasado.

¿Cómo se lo descubrió y dónde?

Comenzamos a investigar los ataques de Rocra en octubre de 2012, a petición de uno de nuestros socios. Al analizar el ataque, los módulos de spear phishing y malware, nos dimos cuenta de la magnitud de esta campaña y comenzamos a estudiarla en profundidad.

¿Cómo se consiguieron las muestras?

El socio que nos dio a conocer este malware prefiere mantenerse en el anonimato.

¿Cuántos ordenadores infectados ha detectado Kaspersky Lab? ¿Cuántas víctimas hay? ¿Cuál es el tamaño aproximado de la Operación Octubre Rojo en una escala global?

Durante los últimos meses hemos identificado varios cientos de infecciones en todo el mundo: todas ellas en ubicaciones importantes como redes gubernamentales e instituciones diplomáticas. Las infecciones que identificamos están distribuidas principalemnte en Europa Oriental, pero también hemos recibido informes de América del Norte y países de Europa Occidental como Suiza y Luxemburgo.

Esta es una lista de los países con mayor cantidad de infecciones (sólo se incluyen los que tienen más de 5 víctimas) según los datos de Kaspersky Security Network (KSN):

País

Infeciones

FEDERACIÓN RUSA 38
KAZAKISTÁN 21
BÉLGICA 16
AZERBAIYÁN 15
INDIA 14
AFGANISTÁN 10
ARMENIA 10
TURKMENISTÁN 9
IRÁN; REPÚBLICA ISLÁMICA DE 7
UCRANIA 6
ESTADOS UNIDOS 6
VIETNAM 6
BIELORRUSIA 5
GRECIA 5
ITALIA 5
MARRUECOS 5
PAQUISTÁN 5
SUIZA 5

Más abajo puedes ver las estadísticas del sinkhole.

¿Quién está detrás o es responsable de esta operación? ¿Es un ataque patrocinado por algún estado o nación?

La información que hemos conseguido hasta ahora no apunta a ningún lugar específico, pero hay dos factores sobresalientes:

  • Parece que hackers chinos crearon los exploits.
    Parece que personas que hablan ruso crearon los módulos de malware de Rocra.

  • Por ahora no hay evidencias que conecten esta amenaza con un ataque patrocinado por un gobierno. Está claro que la información que los atacantes robaron es muy importante e incluye datos geopolíticos que otros países pueden usar. Esta información se puede negociar en el inframundo virtual y vender al mejor postor que, por supuesto, puede ser cualquiera.

¿Hay algo escrito en el malware que pueda indicar quiénes son los atacantes?

Muchos módulos de Rocra tienen erratas y errores ortográficos interesantes:

En particular, la palabra “Zakladka” en ruso puede significar:

  • “Marcador de Favoritos”.
  • (Más probable) una jerga que significa “funcionalidad no declarada”, como en software y hardware. Pero también se refiere a un micrófono escondido en un ladrillo de una embajada.

La clase C++ que guarda los parámetros de configuración C&C se llama “MPTraitor” y la sección de configuración correspondiente en los recursos se llama “conn_a”. Algunos ejemplos incluyen:

¿Qué tipo de información se está robando a los ordenadores infectados?

La información robada a sistemas infectados incluye documentos con las siguientes extensiones:

En particular, parece que las extensiones “acid*” se refieren al malware clasificado “Acid Cryptofiler”, empleado en muchas entidades como la Unión Europea y la NATO.

¿Cuál es el propósito / objetivo de esta operación? ¿Qué querían lograr los atacantes al realizar esta campaña de ciberespionaje durante tantos años?

Parece que el mayor propósito de la operación es la recolección de información clasificada e inteligencia geopolítica, aunque parece que recolecta un amplio espectro de datos. Durante los últimos cincos años, los atacantes consiguieron información sobre cientos de víctimas de alto perfil, aunque se desconoce cómo se la usó.
Es posible que la información se haya vendido en el mercado negro o se haya utilizado de forma directa.

¿Cuáles son los mecanismos de infección de este malware? ¿Se puede propagar a sí mismo (gusano)? ¿Cómo funciona? ¿Tienen los atacantes una plataforma de ataques personalizada?

El cuerpo principal del malware funciona como un punto de entrada en el sistema que después puede descargar módulos que se usan para realizar movimientos laterales. El malware no se propaga a sí mismo después de la infección inicial – lo más común es que los atacantes recolecten información sobre la red por algunos días, identifiquen sistemas claves y después desplieguen módulos para comprometer a otros equipos en la red, por ejemplo, usando el exploit MS08-067.

En general, el marco Rocra está diseñado para ejecutar “tareas” que piden sus servidores C&C. La mayoría de las tareas se entregan como bibliotecas PE DLL de un solo uso que se reciben del servidor, se ejecutan en la memoria y se descartan de inmediato.

Pero muchas tareas deben estar presentes en el sistema constantemente, por ejemplo, esperar a que se conecte un iPhone o móvil de Nokia. Estas tareas se entregan como archivos PE EXE y se instalan en el equipo infectado.

Ejemplos de tareas “persistentes”:

  • Buscar y extraer archivos por máscara/formato cuando se conecte un dispositivo USB, incluyendo archivos eliminados. Restaurar los archivos eliminados utilizando un analizador sintátctico de archivos del sistema que está incorporado.
  • Esperar a que se conecte un iPhone o teléfono Nokia. Cuando se conecte, obtener información del teléfono, su libreta de direcciones, lista de contactos, historial de llamadas, agenda, mensajes SMS e historial de navegación.
  • Esperar a que se conecte un teléfono Windows Mobile. Cuando se conecte, infectarlo con una versión para móviles del componente principal de Rocra.
  • Esperar a que se abra un documento Microsoft Office o PDF construido de forma especial y lanzar el ataque escondido en el documento, implementando un canal de comunicación encubierto de una sóla vía que se pueda usar para restaurar el control del equipo infectado.
  • Registrar todas las teclas que pulsa el usuario, tomar capturas de pantalla.
  • Ejecutar todos los módulos codificados adicionales según una agenda predefinida.
  • Conseguir los correos electrónicos y archivos adjuntos de Microsoft Outlook y de servidores de correo de fácil acceso utilizando credenciales que se habían obtenido con antelación.

Ejemplos de tareas “de una vez”:

  • Recolectar información general sobre el entorno del software y hardware.
  • Recolectar información de filesystem y redes, construir listas de directorios, buscar y recolectar archivos mediante máscaras que provee el servidor C&C.
  • Recolectar información sobre programas instalados, principalmente Oracle DB, Radmin y programas de mensajería instantánea como el agente de Mail.Ru, controladores y programas de teléfonos Windows Mobile, Nokia, SonyEricsson, HTC, Android y dispositivos USB.
  • Extraer el historial de navegación de Chrome, Firefox, Internet Explorer, Opera.
  • Extraer las contraseñas guardadas de sitios web, servidores FTP, correos y cuentas de mensajería instantánea.
  • Extraer los valores hash de las cuentas de Windows, posiblemente para crackearlo sin conexión a Internet.
  • Extraer la información de las cuentas de Outlook.
  • Determinar la dirección IP externa del equipo infectado.
  • Descargar los archivos de servidores FTP que se puedan alcanzar desde el equipo infectado (incluyendo aquellos conectados a su red local) usando credenciales que los atacante ya habían conseguido.
  • Escribir y/o ejecutar códigos arbitrarios incluidos dentro de la tarea.
  • Realizar un análisis de redes y descargar los datos de configuración de dispositivos Cisco, si están disponibles.
    Realizar un análisis de redes dentro de un rango predefinido y replicarlo en equipos vulnerables usando la vulnerabilidad MS08-067.

  • Replicar mediante redes usando credenciales de administrador que ya se habían conseguido.

Los atacantes diseñaron el marco Rocra desde cero y no lo han utilizado en ninguna otra operación.

¿Está el malware limitado sólo a estaciones de trabajo o tiene capacidades adicionales, como un componente de malware móvil?
Existen varios módulos móviles, diseñados para robar los datos de diferentes tipos de dispositivos:

  • Windows Mobile
  • iPhone
  • Nokia

Estos módulos se instalan en el sistema y esperan a que se conecten dispositivos móviles al equipo de la víctima. Cuando se establece una conexión, los módulos comienzan a recolectar datos de los teléfonos móviles.

¿Cuántas variantes, módulos o archivos maliciosos se identificaron en total durante la Operación Octubre Rojo?

En el curso de nuestra investigación descubrimos más de 100 módulos que pertenecían a 30 categorías diferentes. Se crearon desde 2007 y el más reciente se compiló el 8 de enero de 2013.
Aquí hay una lista de módulos y categorías conocidos:

¿Los primeros ataques también estaban dirigidos a víctimas de “alto perfil” o se lanzaron en una serie de ataques masivos a organizaciones y víctimas?

Todos los ataques se ajustaron minuciosamente a las características específicas de sus víctimas. Por ejemplo, los documentos iniciales se personalizaron para que sean más atractivos y cada módulo está compilado de forma específica para su víctima y tiene dentro una identificación única para ella.

Después hay más interacción entre los atacantes y el usuario atacado – la operación se basa en el tipo de configuración que tiene la víctima, el tipo de documentos que usa, los programas que ha instalado, su idioma nativo, etc. Comparado con Flame y Gauss, que son campañas de ciberespionaje con un alto nivel de automatización, Rocra es mucho más “personal” y está calibrado con mucho cuidado para que se ajuste a los requisitos de los equipos de sus víctimas.

¿Está Rocra relacionado de algún modo con el malware Duqu, Flame y Gauss?

Sencillamente, no hemos podido encontrar ninguna conexión entre Rocra y las plataformas Flame / Tilded.

¿Cómo se compara la Operación Rocra con campañas diferentes, como Aurora y Night Dragon? ¿Hay similitudes o diferencias notables?

En comparación con Aurora y Night Dragon, Rocra es mucho más sofisticada. En el curso de nuestra investigación descubrimos más de 100 módulos que pertenecían a 30 categorías diferentes. En general, las campañas Aurora y Night Dragon usaron malware relativamente sencillo para robar información confidencial.

Con Rocra, los atacantes lograron mantenerse en juego por más de 5 años y evadir la detección de la mayoría de productos antivirus mientras filtraban cantidades de datos que calculamos que rondan los cientos de terabytes.

¿Cuántos servidores de commando y control tiene? ¿Realizó Kaspersky Lab algún tipo de análisis forense?

Durante nuestra investigación, descubrimos más de 60 nombres de dominio que los atacantes utilizaron para controlar y extraer los datos de las víctimas. Los nombres de dominio pertenecen a decenas de IPs, la mayoría ubicadas en Rusia y Alemania.

De acuerdo a los datos de nuestra investigación, podemos imaginar que la infraestructura de comando y control de Rocra se ve más o menos así:

Más adelante se revelará información más detallada sobre los servidores de comando y control de Rocra.

¿Se aislaron los servidores de comando y control en un “sinkhole”?

Logramos aislar en un sinkhole seis de los más de 60 dominios que usaron las diferentes versiones del malware. Durante el periodo de vigilancia (2 de noviembre de 2012 al 10 de enero de 2013), registramos más de 55.000 conexiones al sinkhole. Se conectaron 250 IPs diferentes.

Desde el punto de vista de la distribución geográfica de las conexiones al sinkhole, hemos detectado a víctimas en 39 países, y la mayoría de las IPs provienen de Suiza. Kazajstán y Grecia están en segundo y tercer lugar.


Estadísticas del sinkhole – 2 de noviembre 2012 al 10 de enero 2013

¿Está Kaspersky Lab trabajando con alguna organización gubernamental, Equipo de Respuesta a Emergencias Informáticas (CERT), autoridad judicial o compañía de seguridad para investigar esta amenaza y desinfectar a las víctimas?

Kasperky Lab, en colaboración con organizaciones internacionales, autoridades judiciales, Equipos de Respuesta a Emergencias Informáticas (CERTs) y otras compañías de seguridad informática, continúa con las investigaciones de la Operación Octubre Rojo, ofreciendo su experiencia técnica y recursos para los procedimientos de remediación y mitigación de la amenaza.

Kaspersky Lab quisiera agradecer a: US-CERT y los CERT de Rumania y Bielorrusia por su asistencia en la investigación.

La operación ‘Octubre Rojo’

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada