Un
informe de la compañía Cylance desvela las actuaciones de un grupo de atacantes iraníes que durante los dos últimos años han
conseguido recopilar información de más de 50 organizaciones críticas en 16
países.
La
compañía Cylance ha publicado un completo informe en el que detalla como
desde al menos 2012 un grupo iraní ha estado atacando, se ha establecido de
forma permanente y ha llegado a extraer información altamente sensible de redes
de agencias gubernamentales y de compañías de infraestructuras críticas
(transporte, comunicaciones energía…) de los siguientes países: Canadá, China, Inglaterra,
Francia, Alemania, India, Israel, Kuwait, México, Pakistán, Qatar, Arabia
Saudí, Corea del Sur, Turquía, Emiratos Árabes Unidos y los Estados Unidos.
Bautizado como "Operación Cleaver" debido a que la
cadena "cleaver" aparece en
múltiples piezas de software empleadas en los ataques (especialmente en
diferentes rutas y directorios).
Todo indica a que Irán se ha
tomado la revancha, podemos recordar como durante los años 2009 a 2012 fue
víctima de diferentes campañas de sabotaje industrial y espionaje como Stuxnet,
duqu
o Flame.
Estas muestras de malware se centraron en el programa nuclear iraní, y operaciones
de petróleo y gas.
Según Cylance, el grupo de
atacantes trabajaban desde Teheran (Irán) aunque se han identificado miembros
auxiliares en otras localizaciones como Países Bajos, Canadá y el Reino Unido.
Los objetivos incluían instalaciones
militares, gobiernos, servicios públicos, aerolíneas, aeropuertos, hospitales, empresas
químicas y aeroespaciales. También compañías petroleras, de gas, de energía, de
transporte, de telecomunicaciones y de tecnología.
Durante los dos últimos años,
Cylance confirma que ha recogido más de 8 GB de información, que incluyen más
de 80.000 archivos de datos extraídos, herramientas, registros de las víctimas
y datos de reconocimiento altamente sensibles.
Metodología
Para realizar los ataques el
grupo aprovechó con éxito tanto herramientas disponibles públicamente como otras
personalizadas (en algunos casos la personalización pasaba por modificar el
nombre del autor). Aunque evidentemente los métodos empleados han sido eficaces,
tanto por haber logrado sus objetivos como por haber permanecido ocultos
durante tanto tiempo, tampoco hay muchas novedades detrás de ellos (inyecciones
SQL, campañas de spear phishing o uso de exploits públicos).
La campaña de Cleaver usa una
variedad de métodos en múltiples etapas de ataques. El objetivo inicial era lograr la intrusión en la
red atacada y conseguir la ejecución de código arbitrario. Para este compromiso se emplearon principalmente técnicas de
inyección SQL y campañas de spear-phishing.
Después se trataba de lograr una
elevación de privilegios, lo que permitía a los atacantes conseguir acceso a zonas
restringidas del sistema, así como atacar otros sistemas de la red. Igualmente
tampoco se empleaban técnicas novedosas, según Cylance han encontrado varios
exploits públicos conocidos. PrivEsc un exploit compilado que explota la
vulnerabilidad con CVE-2010-0232 sobre sistemas Windows sin actualizar, NetC
(Net Crawler), un exploit en Python para aprovechar la vulnerabilidad MS08-067,
Jasus y hasta el conocido Cain & Abel.
Para la extracción de datos el
informe enumera diferentes servidores ftp anónimos. También se describe el uso
de NetCat (también empleado como Shell inversa), que posteriormente fue
reemplazado por una utilidad desarrollada por el equipo de Operación Cleaver
que opera de forma similar a NetCat. También se ha usado PLink (utilidad
incluida en la suite SSH PuTTY) y hasta el uso de correo mediante servidores
SMTP con el relay abierto.
Para mantenerse en los sistemas
atacados principalmente se utilizaron diferentes versiones de TinyZBot, una
puerta trasera desarrollada en C#. Según indica el informe esta muestra de
malware es el mayor desarrollo realizado por la organización (y aun así no fue
desarrollada completamente por Cleaver).
En el propio informe, con el
objetivo de prevenir y detectar infecciones de esta amenaza, se comparten los
IOCs (Indicators of Compromise) descubiertos durante la investigación. Estos
incluyen dominios, direcciones de correo, direcciones IP, exclusiones mutuas,
nombres de servicios instalados, MD5 y SHA-256 de cientos de muestras y firmas
YARA.
Más información:
Operation Cleaver
una-al-dia (19/10/2011) Duqu, ¿el
nuevo malware descendiente de Stuxnet?
una-al-dia (15/01/2011) Según el
New York Times, Stuxnet fue creado por el gobierno de Estados Unidos e Israel
una-al-dia (29/05/2012) TheFlame:
reflexiones sobre otra "ciberarma" descubierta demasiado tarde
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario