Los laboratorios de Blue Coat dan a conocer uno de los ataques de malware más sofisticados que se hayan visto: ¨Inception¨. Este ataque ha sido dirigido principalmente a militares, diplomáticos y ejecutivos de negocios, inicialmente dirigido a Rusia, pero ahora en expansión a nivel mundial. El ataque dirigido Incluye también los dispositivos móviles: Android, Blackberry e iOS. Los atacantes utilizan un servicio de alojamiento gratuito en la nube con sede en Suecia para mando y control
LIMA, Perú, 16 de Diciembre del 2014.— Investigadores de los laboratorios de Blue Coat han identificado la aparición de un ataque previamente indocumentado con fines muy concretos de accesar y extraer información confidencial de los ordenadores de las víctimas. Debido a las muchas capas utilizadas en el diseño de los programas maliciosos, se le ha nombrado ¨Inception¨, u origen en español, haciendo referencia a la película de Leonardo DiCaprio en la que un ladrón entra en sus sueños para robar sus secretos del subconsciente.
Los objetivos incluyen individuos en posiciones estratégicas: Ejecutivos de empresas importantes como el petróleo, las finanzas y la ingeniería, oficiales militares, personal de la embajada y funcionarios del gobierno. Los ataques ¨Inception¨ comenzaron centrándose en objetivos situados sobre todo en Rusia o relacionados con los intereses de Rusia, pero desde ya se han extendido a otros lugares del mundo. El método de entrega de malware preferido es a través de correos electrónicos de phishing que contienen documentos troyanizados.
El mando y Control del tráfico en la plataforma Windows se realiza indirectamente a través de un proveedor de servicios cloud sueco utilizando el protocolo WebDAV. Esto oculta la identidad del atacante y puede pasar por alto muchos mecanismos de detección actuales.
Los atacantes han añadido otra capa de indirección para enmascarar su identidad mediante el aprovechamiento de una red de proxy compuesta por routers, la mayoría de los cuales están basados en Corea del Sur, para su comunicación de comando y control. Se cree que los atacantes fueron capaces de comprometer estos dispositivos basados en configuraciones pobres. Está claro que los atacantes tienen la intención de permanecer ocultos.
El ataque sigue evolucionando. Los investigadores del laboratorio de Blue Coat han encontrado recientemente que los atacantes también han creado programas maliciosos para Android, BlackBerry y dispositivos iOS para recopilar información de las víctimas. Hasta la fecha, Blue Coat ha observado más de 60 proveedores de servicios móviles, como China Mobile, O2, Orange, SingTel, T-Mobile y Vodafone, que han sido comprometidos, pero el número real es probablemente mucho más alto.
Los investigadores de Blue Coat han descubierto una serie de correos electrónicos de phishing destacando objetivos de la industria por país:
- Finanzas [Rusia]
- Sector de Petróleo [Rumania, Venezuela, Mozambique]
- Embajadas/Diplomacia [Paraguay, Rumania, Turquía]
Antecedentes
En marzo de 2014, Microsoft publicó información sobre una nueva vulnerabilidad en formato de texto enriquecido (RTF). Esta vulnerabilidad ya fue explotada por los atacantes. A finales de agosto, Blue Coat identificó una operación de espionaje malware para activar la ejecución de la carga maliciosa, y que aprovechó un servicio de nube sueco, CloudMe, como la columna vertebral de su toda la infraestructura visible.
Cuando Blue Coat notificó a CloudMe.com sobre el abuso de sus servicios, CloudMe proporcionó investigación adicional, incluyendo una gran cantidad de información de registro relacionada con el ataque. Cabe señalar que el servicio CloudMe no se está extendiendo activamente el contenido malicioso; los atacantes sólo lo utilizan para almacenar sus archivos.
¿Cómo funciona el ataque ¨Inception¨?
- Los atacantes se dirigen a personas en posiciones estratégicas mediante el envío de correos electrónicos con documentos que infectarán sus sistemas cuando se abren.
- Cuando el usuario hace clic en el documento, un documento de Word se abre y el software se instala y se ejecuta en segundo plano.
- El malware recoge información del sistema desde la máquina infectada, incluyendo la versión del sistema operativo, nombre del equipo, nombre de usuario, la pertenencia a grupos de usuarios, el proceso en donde se está ejecutando, ID´s locales , así como la unidad del sistema y el volumen de la información.
- Toda la información del sistema es encriptada y enviada a almacenamiento en la nube a través de WebDAV, un protocolo de comunicación utilizado para la edición y gestión de archivos en servidores remotos, que no pasa por muchos mecanismos de detección.
Conclusión
Es evidente que hay una organización con muchos recursos y muy profesional detrás de estos ataques ¨Inception¨, con objetivos precisos e intenciones que podrían expandirse y ser muy perjudiciales. El complejo ataque muestra signos de gran experiencia en automatización y programación, y el número de capas que se utilizan para proteger la carga útil del ataque y para ocultar la identidad de los atacantes es muy avanzada.
La atribución siempre es difícil, y en este caso es extremadamente difícil. En base a las características del ataque y la focalización de las personas relacionadas en los sectores político, económico y militar nacional, los atacantes podrían ser un Estado-nación de tamaño medio, o posiblemente una entidad privada profesional con recursos.
Acerca de Blue Coat Systems
Blue Coat habilita a las empresas para elegir de forma segura y rápida las mejores aplicaciones, servicios, dispositivos, fuentes de datos y contenidos que se ofrecen en el mundo a fin de que puedan crear, comunicar, colaborar, innovar, ejecutar, competir y ganar en sus mercados. Para obtener más información, visite www.bluecoat.com.