Vulnerabilidad “de día cero” de Adobe Flash Player y Sistema de Control Remoto de HackingTeam

La semana pasada, Adobe lanzó un parche para una vulnerabilidad en Flash Player que se estaba explotando en ataques dirigidos.

Antes de seguir leyendo, te recomendamos que tomes un momento para instalar ese parche. Adobe ofrece esta útil herramienta para comprobar que tienes la última versión de Flash Player.

Si utilizas Google Chrome, asegúrate de que tienes instalada por lo menos la “versión 24.0.1312.57 m”.

Ahora volvamos a CVE-2013-0633, la vulnerabilidad crítica que los investigadores de Kaspersky Lab Sergey Golovanov y Alexander Polyakov descubrieron y denunciaron a Adobe. Los exploits para CVE-2013-0633 se encontraron mientras se observaba el malware de vigilancia que supuestamente es “legal” y que creó la compañía italiana HackingTeam. En esta entrada del blog, describiremos algunos de los ataques y el rol que esta vulnerabilidad de día cero jugó en la distribución de los sistemas que “HackingTeam” publicita como Sistema de Control Remoto (RCS por sus siglas en ingles).

HackingTeam y RCS

En los últimos meses hemos escrito sobre RCS (Sistema de Control Remoto) y HackingTeam , y hemos estado vigilando de cerca el uso de RCS (conocido como “DaVinci”) contra los activistas de derechos humanos y los disidentes políticos de África, Sudamérica y Oriente Medio.

También presentamos los resultados de esta investigación la semana pasada en SAS 2013, una presentación de Kaspersky Lab llamada “Ciber Cosa Nostra”, en la que se explica en detalle las conexiones entre HackingTeam y una organización sospechosa conocida como “OPM”. Este mes publicaremos en Viruslist un artículo que documenta los resultados.

Durante nuestra investigación, descubrimos que el malware RCS se instaló en los equipos de sus víctimas de varias formas:

1. JAR firmado por sí mismo
2. CVE-2012-4167: (0-day de “Vupen”, ver http://www.dhses.ny.gov/ocs/advisories/2012/2012-073.cfm . Estuvo explotándose en la red alrededor de 3 meses antes de que se hiciera pública). Usada con C2: hxxps://www.maile-s.com/yarab/stagedocJord
3. CVE-2010-3333: C2 en hxxps://ar-24.com/0000000031/veryimportant.doc2 + hxxp://rcs-demo.hackingteam.it/0000000001/exploit.doc2
4. CVE-2012-5054: (vulnerabilidad de día cero Vupen, ver http://packetstormsecurity.com/files/116435/Adobe-Flash-Player-Matrix3D-Integer-Overflow-Code-Execution.html . Se estuvo explotando en la red por alrededor de 3 meses antes de que se parchara). Se la usa con C2 en: hxxp://176.58.100.37/0000040037/scandale.doc
5. CVE-2012-1682: (Vulnerabilidad de día cero. Exploraciones de Seguridad. Se estuvo explotando en la red por alrededor de 2 meses antes de que se publicara). hxxp://ar-66.com/installer.jar.
6. CVE-2013-0633: vulnerabilidad de día cero, antes no se conocía.
Morgan Marquis-Boire, investigador de Citizen Lab Security, ya había descrito en gran detalle algunos de estos vectores de infección en relación con RCS y otro malware conocido como “SPY_NET”.

Es interesante que la compañía francesa de seguridad ofensiva Vupen haya desarrollado dos de las vulnerabilidades de día cero de la lista de arriba. El informe de Citizen Lab ya había señalado esta relación, pero dice que no se sabe si los delincuentes compraron a Vupen los exploits que se usan en el malware de HackingTeam o los crearon por su cuenta de forma paralela.

CVE-2013-0633

Encontramos CVE-2013-0633 mientras analizábamos varios ataques dirigidos que parecía que propagaban el malware Backdoor.Win64.Korablin.a, que tiene el nombre de detección para el paquete DaVinci de HackingTeam para Windows (las versiones de Mac se llaman (Backdoor.OSX.Morcut”). Los ataques utilizaron documentos de Word que propagaban el malware de diferentes maneras en el sistema infectado.

Aunque no tenemos los documentos originales que se usaron en los ataques, hemos identificado varias ubicaciones desde donde se enviaron la 2? y 3? etapa. Esta es una lista de los servidores de comando que se usaron como C2 para difundir los exploits, que estaban integrados en la shellcode que se usa en la segunda etapa del ataque:

hxxp://li565-84.members.linode.com/0000000097/worddocument.doc3
hxxp://li565-84.members.linode.com/0000000093/worddocument.doc3
hxxp://li565-84.members.linode.com/0000000093/word_document.doc3
hxxp://li565-84.members.linode.com/0000000098/worddocuments.doc3

(un servidor Linode en Japón)

También habíamos visto ataques anteriores que usaban otros C2:

El malware que instalan estos exploits está firmado con un certificado válido de varias entidades de todo el mundo:

¿Cuánto se han expandido estos ataques? Este es un mapa de las detecciones de Backdoor.Win32/64.Korablin.a:

Durante el periodo de vigilancia, observamos alrededor de 50 incidentes de países como Italia, México, Kazajstán, Arabia Saudita, Turquía, Argentina, Argelia, Mali, Irán, India y Etiopía.

Como suele pasar con estos programas sospechosos, es imposible saber quién lo usa y con qué finalidad. El problema con las herramientas de espionaje que dicen ser “legales” es que cualquier gobierno las puede adquirir, incluyendo aquellos con un pobre historial de derechos humanos. Es más, un gobierno puede comprar estas herramientas para usarlas contra otro país.

La relación entre HackingTeam y Vupen

Durante nuestra investigación, notamos que por lo menos dos vulnerabilidades de día cero se atribuían a Vupen. Estas vulnerabilidades se habían utilizado en ataques con DaVinci/RCS. No sabemos si ambos equipos descubrieron y crearon los exploits de forma paralela o si Hackingteam es sólo un cliente más de Vupen. Sin embargo, parece que existe una relación entre ambas compañías en el sentido de que el malware de Hackingteam a menudo se propaga utilizando las vulnerabilidades de día cero de Vupen.

El futuro

Después de la publicación del blog de Citizen’s Lab titulada “Desde Bahrain con cariño: se expone el paquete espía de FinFisher”, el gobierno británico reafirmó que los controles que restringen la exportación de sistemas criptográficos también se aplican a las exportaciones de FinSpy de Gamma Group.

Aunque estas restricciones existen en el Reino Unido, en la actualidad hay muy poca información sobre las regulaciones en Francia o Italia en relación a las actividades de las compañías que crean vulnerabilidades de día cero y malware “legal”. Aunque existan estas regulaciones, el programa espía se puede vender con facilidad a cualquier persona con una “Corporación pantalla” en otros países, como Panamá. Basándome en las evidencias que hay, las víctimas de estos ataques son activistas de los derechos humanos que trabajan en países conocidos por sus violaciones a estos derechos. Es posible que las herramientas como FinSpy o RCS dirijan al arresto y condena de personas en estos países.

Creemos que la industria del “espionaje legal” es una bomba de tiempo que explotará en cualquier momento. La falta de regulaciones, el comercio expandido de tecnologías peligrosas a cualquiera que tenga el dinero para pagarlas y el hecho de que ya existan tantos casos sospechosos, hace que se cuestione sobre quién caerá la responsabilidad cuando el caso por fin explote.

Los productos Kaspersky Lab detectan las puertas traseras RCS/DaVinci como: Backdoor.Win32.Korablin, Backdoor.Win64.Korablin, Backdoor.Multi.Korablin, Rootkit.Win32.Korablin, Rootkit.Win64.Korablin, Rootkit.OSX.Morcut y Trojan.OSX.Morcut.