Kaspersky reconoce un ataque sobre sus sistemas

Los Laboratorios Kaspersky han publicado un aviso en el que reconocen haber sufrido un ataque dirigido, de igual forma confirman que ninguno de sus productos, servicios o clientes se han visto afectados. Sin embargo, los datos detrás del ataque resultan de lo más interesantes.

Las empresas de seguridad siempre están (estamos) en el punto de mira de los atacantes. Bien por el prestigio que puede dar la publicidad del ataque, la información obtenida, o conocer debilidades de otros posibles objetivos; el ataque a una empresa de seguridad resulta ser un objetivo muy suculento para un atacante.

Esto parece ser lo que le ha ocurrido a Kaspersky, han sufrido un ataque avanzado sobre sus sistemas internos. Según la firma, el ataque es sumamente avanzado y desarrollado, lo que junto con algunas similitudes en el código ha hecho que este ataque, el malware y su plataforma asociada, quede bautizado como Duqu 2.0.

Evidentemente, una de las cosas que Kaspersky quiere dejar, y deja, bien claro, es que ninguno de sus productos se ha visto comprometido, y que sus clientes no se enfrentan a ningún riesgo causado por este ataque.

"Ya hemos comprobado que el código fuente de nuestros productos está intacto. Podemos confirmar que nuestras bases de datos de malware no se han visto afectadas, y que los atacantes no han tenido acceso a los datos de nuestros clientes."

Pero detrás de Duqu 2.0, se esconde "algo realmente grande", según confirman este malware está una generación por delante de todo lo visto hasta ahora, además de utilizar una serie de trucos que hacen que sea muy difícil de detectar y neutralizar.

Las investigaciones de Kasperky han relacionado las nuevas infecciones de este malware con eventos y lugares del P5+1, un grupo de seis potencias mundiales con especial interés en el programa nuclear iraní y las negociaciones sobre un acuerdo nuclear con este país. El P5+1 está formado por los cinco miembros permanentes del Consejo de Seguridad de la ONU, Estados Unidos, Rusia, China, Reino Unido y Francia, además de Alemania. De igual forma, Duqu 2,0 también habría lanzado un ataque similar en relación con el evento del 70 aniversario de la liberación de Auschwitz-Birkenau. Kaspersky ha encontrado víctimas de Duqu 2.0 en diferentes lugares, incluidos los países occidentales, Oriente Medio y Asia.

Lo avanzado del ataque, la cantidad de recursos necesarios para su desarrollo y puesta en marcha, así como los objetivos hacen pensar que, sin duda, detrás de esto se encuentra un país, ¿Cuál? Eso está todavía por descubrir. Y Kaspersky, que confirma que aun investiga más datos sobre el ataque, no adelanta ninguna información al respecto.

Por otra parte hay que agradecer a Kasperky el reconocer el ataque, y comunicarlo de forma adecuada, así como presentar un completo informe sobre el malware y su plataforma digno de estudio.

Algunas similitudes encontradas entre las versiones de Duqu.
En este caso, los mismos números únicos pasados como
parámetros, a la función de logging.

El vector inicial del ataque todavía se desconoce, aunque sospechan que posiblemente haya sido a través de correos de spear-phishing (phishings específicamente dirigidos y construidos para un objetivo concreto). Lo que sí se ha confirmado es el uso de varios exploits 0day para su introducción en los sistemas.

En 2011, el ataque original deDuqu empleaba una vulnerabilidad día cero en Word (CVE-2011-3402), un exploit que permitía a los atacantes saltar al modo kernel desde un documento Word. En 2014 se detectó una técnica muy similar, también con exploit día cero (CVE-2014-4148), contra una importante organización internacional. El servidor C&C (Comando y Control) empleado en este ataque del 2014, así como otros factores, tenían similitudes con Duqu, aunque la muestra de malware empleada era diferente tanto a Duqu, como a Duqu 2.0. Según Kaspersky todo indica que este 0day (CVE-2014-4148), parcheado por Microsoft en noviembre de 2014, fuera el empleado para instalar Duqu 2.0.

Si bien, para el caso del ataque a Kaspersky Lab, el ataque se aprovechó de otro día cero (CVE-2015-2360) sobre el kernel de Windows, parcheada por Microsoft este pasado martes (en el boletín MS15-061) y posiblemente hasta otras dos vulnerabilidades diferentes, actualmente corregidas, pero que también fueron día cero en su momento.

Sin duda, los atacantes cometieron un error al atacar a una firma de seguridad como Kaspersky, ¿qué otros objetivos similares habrán tenido? Al atacar a Kaspersky los atacantes estaban interesados en aprender sobre las tecnologías de seguridad, y los productos antivirus de la firma. Buscaban información para conseguir permanecer más tiempo ocultos sin que los objetivos atacados se percataran de ello. Ese fue su error.

Aparte del análisis técnico delmalware, resulta también interesante y digno de destacar el análisis que el propio Eugene kaspersky realiza sobre los motivos sobre la revelación del ataque.

"En primer lugar, no revelarlo sería como no informar a la policía de un accidente de tráfico con víctimas porque pueda afectar tu historial. Además, conocemos la anatomía de los ataques dirigidos suficientemente bien como para entender que no hay nada de qué avergonzarse en la divulgación de este tipo de ataques, esto le puede pasar a cualquiera. (Recuerda, sólo hay dos tipos de empresas: las que han sido atacadas y los que no saben que han sido atacadas). Al revelar el ataque: (i) enviamos una señal al público y cuestionamos la validez y la moralidad de los ataques que creemos orquestados por un Estado contra el negocio privado en general, y las empresas de seguridad, en particular; (ii) compartimos nuestros conocimientos con otras empresas para ayudarles a proteger sus activos. Si esto daña nuestra ‘reputación’, no nos importa. Nuestra misión es salvar el mundo, y esto no admite concesiones."

Más información:

P5+1 Negotiations with Iran

https://www.whitehouse.gov/issues/foreign-policy/iran-negotiations

Kaspersky Lab investiga un ataque hacker a su propio sistema

https://blog.kaspersky.es/kaspersky-statement-duqu-attack/6231/

The Mystery of Duqu 2.0: a sophisticated cyberespionage actor returns

https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/

The duqu 2.0

Technical Details

https://securelist.com/files/2015/06/The_Mystery_of_Duqu_2_0_a_sophisticated_cyberespionage_actor_returns.pdf

una-al-dia (19/10/2011) Duqu, ¿el nuevo malware descendiente de Stuxnet?

http://unaaldia.hispasec.com/2011/10/duqu-el-nuevo-malware-descendiente-de.html

una-al-dia (02/11/2011) Duqu, más información y algunas dudas

http://unaaldia.hispasec.com/2011/11/duqu-mas-informacion-y-algunas-dudas.html

una-al-dia (04/11/2011) Microsoft da detalles sobre el 0 day que aprovecha Duqu: Cómo protegerse

http://unaaldia.hispasec.com/2011/11/microsoft-da-detalles-sobre-el-0-day.html

una-al-dia (09/06/2015) Microsoft publica ocho boletines de seguridad

http://unaaldia.hispasec.com/2015/06/microsoft-publica-ocho-boletines-de.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Operación Cleaver: Irán detrás de ataques informáticos a 16 paises

Un informe de la compañía Cylance desvela las actuaciones de un grupo de atacantes iraníes que durante los dos últimos años han conseguido recopilar información de más de 50 organizaciones críticas en 16 países.

La compañía Cylance ha publicado un completo informe en el que detalla como desde al menos 2012 un grupo iraní ha estado atacando, se ha establecido de forma permanente y ha llegado a extraer información altamente sensible de redes de agencias gubernamentales y de compañías de infraestructuras críticas (transporte, comunicaciones energía…) de los siguientes países: Canadá, China, Inglaterra, Francia, Alemania, India, Israel, Kuwait, México, Pakistán, Qatar, Arabia Saudí, Corea del Sur, Turquía, Emiratos Árabes Unidos y los Estados Unidos.

Bautizado como "Operación Cleaver" debido a que la cadena "cleaver" aparece en múltiples piezas de software empleadas en los ataques (especialmente en diferentes rutas y directorios).

Todo indica a que Irán se ha tomado la revancha, podemos recordar como durante los años 2009 a 2012 fue víctima de diferentes campañas de sabotaje industrial y espionaje como Stuxnet, duqu o Flame. Estas muestras de malware se centraron en el programa nuclear iraní, y operaciones de petróleo y gas.

Según Cylance, el grupo de atacantes trabajaban desde Teheran (Irán) aunque se han identificado miembros auxiliares en otras localizaciones como Países Bajos, Canadá y el Reino Unido.

Los objetivos incluían instalaciones militares, gobiernos, servicios públicos, aerolíneas, aeropuertos, hospitales, empresas químicas y aeroespaciales. También compañías petroleras, de gas, de energía, de transporte, de telecomunicaciones y de tecnología.

Durante los dos últimos años, Cylance confirma que ha recogido más de 8 GB de información, que incluyen más de 80.000 archivos de datos extraídos, herramientas, registros de las víctimas y datos de reconocimiento altamente sensibles.

Metodología

Para realizar los ataques el grupo aprovechó con éxito tanto herramientas disponibles públicamente como otras personalizadas (en algunos casos la personalización pasaba por modificar el nombre del autor). Aunque evidentemente los métodos empleados han sido eficaces, tanto por haber logrado sus objetivos como por haber permanecido ocultos durante tanto tiempo, tampoco hay muchas novedades detrás de ellos (inyecciones SQL, campañas de spear phishing o uso de exploits públicos).

La campaña de Cleaver usa una variedad de métodos en múltiples etapas de ataques. El objetivo inicial era lograr la intrusión en la red atacada y conseguir la ejecución de código arbitrario. Para este compromiso se emplearon principalmente técnicas de inyección SQL y campañas de spear-phishing.

Después se trataba de lograr una elevación de privilegios, lo que permitía a los atacantes conseguir acceso a zonas restringidas del sistema, así como atacar otros sistemas de la red. Igualmente tampoco se empleaban técnicas novedosas, según Cylance han encontrado varios exploits públicos conocidos. PrivEsc un exploit compilado que explota la vulnerabilidad con CVE-2010-0232 sobre sistemas Windows sin actualizar, NetC (Net Crawler), un exploit en Python para aprovechar la vulnerabilidad MS08-067, Jasus y hasta el conocido Cain & Abel.

Para la extracción de datos el informe enumera diferentes servidores ftp anónimos. También se describe el uso de NetCat (también empleado como Shell inversa), que posteriormente fue reemplazado por una utilidad desarrollada por el equipo de Operación Cleaver que opera de forma similar a NetCat. También se ha usado PLink (utilidad incluida en la suite SSH PuTTY) y hasta el uso de correo mediante servidores SMTP con el relay abierto.

Para mantenerse en los sistemas atacados principalmente se utilizaron diferentes versiones de TinyZBot, una puerta trasera desarrollada en C#. Según indica el informe esta muestra de malware es el mayor desarrollo realizado por la organización (y aun así no fue desarrollada completamente por Cleaver).  

En el propio informe, con el objetivo de prevenir y detectar infecciones de esta amenaza, se comparten los IOCs (Indicators of Compromise) descubiertos durante la investigación. Estos incluyen dominios, direcciones de correo, direcciones IP, exclusiones mutuas, nombres de servicios instalados, MD5 y SHA-256 de cientos de muestras y firmas YARA.

Más información:

Operation Cleaver

http://www.cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf

una-al-dia (19/10/2011) Duqu, ¿el nuevo malware descendiente de Stuxnet?

http://unaaldia.hispasec.com/2011/10/duqu-el-nuevo-malware-descendiente-de.html

una-al-dia (15/01/2011) Según el New York Times, Stuxnet fue creado por el gobierno de Estados Unidos e Israel

http://unaaldia.hispasec.com/2011/01/segun-el-new-york-times-stuxnet-fue.html

una-al-dia (29/05/2012) TheFlame: reflexiones sobre otra "ciberarma" descubierta demasiado tarde

http://unaaldia.hispasec.com/2012/05/theflame-reflexiones-sobre-otra.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Regin, el nuevo malware de características avanzadas

Tras algunos malware muy relevantes tanto por sus capacidades como por sus avanzadas características técnicas, como stuxnet, duqu, y otras APT de gran repercusión, aparece Regin. Una nueva muestra de malware (que afecta a sistemas Microsoft Windows NT, 2000, XP, Vista y 7) que por sus características parece uno de los malware más sofisticado hasta la fecha.

Symantec y Kaspersky han dado a conocer este malware y ambas compañías coinciden en su sofistificación y avanzadas capacidades que van mucho más lejos de todo lo conocido hasta ahora. 

Aunque Regin es un malware multipropósito, su principal intención es la recopilación de inteligencia y recogida de datos sobre diferentes objetivos que incluyen operadores de telecomunicaciones, instituciones gubernamentales, órganos políticos multinacionales, instituciones financieras, instituciones de investigación e incluso investigadores concretos especializados en criptografía y matemáticas avanzadas.

Arquitectura de Regin según Symantec

Aunque principalmente es un malware destinado al robo de información, tiene la capacidad de cargar funciones personalizadas en función de cada objetivo individual. Tiene la capacidad de instalar un gran número de payloads adicionales, que incluyen muchas características de troyanos de acceso remoto (como realizar capturas de pantalla o tomar el control del ratón). También es capaz de robar contraseñas, monitorizar el tráfico de red, y recuperar información sobre los procesos y utilización de la memoria. Puede buscar archivos eliminados del sistema y recuperar su contenido. También se han encontrado módulos muy específicos para objetivos muy concretos. Como módulos diseñados para monitorizar el tráfico de red de servidores IIS, o para recoger el tráfico de administración de controladores de estaciones base de telefonía móvil o para analizar el correo en bases de datos Exchange.

El nivel de sofisticación y complejidad de este malware hace pensar que el desarrollo de esta amenaza habría necesitado un buen equipo de de desarrolladores durante mucho tiempo (meses e incluso años) para su desarrollo y mantenimiento. Su funcionamiento va mucho más lejos de todo lo visto hasta el momento, no es un simple troyano para la captura de credenciales bancarias, no es una pieza de malware que busque obtener beneficios monetarios inmediatos. Todo ello que hace pensar que detrás de Regin se encuentra un estado o gobierno, y aunque no hay ninguna evidencia que demuestre esta suposición algunas fuentes indican un uso conjunto de Estados Unidos y Reino Unido.

Se desconoce cuándo se crearon y propagaron las primeras muestras de Regin, sin embargo Kaspersky identifica algunas muestras fechadas en 2003. Aunque parece ser que hay múltiples versiones de Regin, se dan dos versiones como principales. La 1.0 que estuvo en uso hasta 2011 y una nueva versión 2.0 que empezó a usarse el 2013.

El nombre de Regin es un giro sobre "In Reg", una forma acortada para decir en el  registro ("In registry"). Haciendo alusión a una forma que tiene el malware de almacenar sus módulos en el registro. Este nombre aparece por primera vez en marzo de 2011.

Algo que tampoco está muy claro y que no ha sido posible reproducir es el método exacto para el compromiso inicial, la forma en que se lleva a cabo la infección. Existen diversas teorías, que incluyen el uso de ataques hombre en el medio con exploits 0-day en el navegador o en alguna otra aplicación.

Arquitectura de Regin, según Kaspersky

Regin actúa en cinco etapas diferentes. La primera etapa actúa como lanzador, el archivo que provoca la infección y que no es posible determinar cómo llega al sistema de la víctima. Esta es la única parte de código que permanece visible en el sistema, a partir de este momento todas las etapas sucesivas y módulos se guardan en el disco duro como Atributos ampliados NTFS, como entradas de registro o en una forma de sistema de archivos virtual cifrado.

Una vez que se instala y ejecuta la primera etapa se encarga de descargar la segunda etapa. De esta forma cada etapa descarga e instala la siguiente etapa. Así el malware se va cargando poco a poco y permanece oculto. El comportamiento es diferente en sistemas 32 bits y 64 bits, con etapas y módulos diferentes en función de la plataforma.

Actualmente, Symantec y Kaspersky sitúan las víctimas en la las víctimas en los siguientes países: Argelia, Afganistán, Arabia Saudí, Austria, Bélgica, Brasil, Fiyi, Alemania, Irán, India, Indonesia, Irlanda, Kiribati, Malasia, México, Paquistán, Rusia y Siria.

Más información:

Regin: Top-tier espionage toolenables stealthy surveillance

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/regin-analysis.pdf

The Regin platform

Nation-state ownage of GSM networks

http://securelist.com/files/2014/11/Kaspersky_Lab_whitepaper_Regin_platform_eng.pdf

Alert (TA14-329A)

Regin Malware

https://www.us-cert.gov/ncas/alerts/TA14-329A

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Actualización del kernel de Windows contra la vulnerabilidad del troyano Duqu

Dentro del conjunto de boletines de seguridad de diciembre publicado este martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS11-087) de una actualización del kernel de Windows destinada a solucionar una vulnerabilidad crítica.

La vulnerabilidad corregida puede permitir la ejecución remota de código arbitrario, pero además es de especial relevancia al tratarse del problema del que se aprovecha de forma activa el troyano Duqu; sin duda el malware del que más se ha hablado en los últimos meses.

Anteriormente y a la espera de la publicación de este boletín, Microsoft había publicado un aviso de seguridad en el que explicaba contramedidas efectivas para evitar ataques. En el boletín recién publicado, Microsoft también ofrece las medidas necesarias para deshacer dicha solución provisional.

La vulnerabilidad corregida, clasificada con CVE-2011-3402, reside en el tratamiento incorrecto de un archivo de fuentes TrueType específicamente creado. El problema se centra en el controlador de sistema win32k.sys. Un fallo al tratar fuentes TrueType permite que una aplicación eleve privilegios y consiga control total del sistema.

Como ya advertimos anteriormente es importante la actualización de los sistemas afectados debido a que este problema está siendo empleado activamente, además de ser  aprovechable a través de cualquier programa que utilice ciertas fuentes TrueType. Cabe recordar que no solo ejecuta código, sino que lo hace con los máximos privilegios.

La actualización puede descargarse directamente desde el boletín publicado

http://technet.microsoft.com/es-es/security/bulletin/ms11-087

en función de la versión de Windows o a través de Windows Update.

Más información:

una-al-dia (02/11/2011) Duqu, más información y algunas dudas

http://unaaldia.hispasec.com/2011/11/duqu-mas-informacion-y-algunas-dudas.html

Boletín de seguridad de Microsoft MS11-087 - Crítica

Una vulnerabilidad en los controladores en modo kernel de Windows podría permitir la ejecución remota de código (2639417)

http://technet.microsoft.com/es-es/security/bulletin/ms11-087

MS11-087: Vulnerability in Windows kernel-mode drivers could allow elevation of privilege: December 13, 2011

http://support.microsoft.com/kb/2639417

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Duqu, más información y algunas dudas

Cuando se han podido cazar algunos componentes más de Duqu, han comenzado a destaparse nuevos datos sobre cómo funciona este malware. Lo más relevante es el uso de vulnerabilidades de Microsoft desconocidas hasta ahora para instalarse, como ya hiciera Stuxnet.

En una una-al-día anterior, apuntábamos a un par de diferencias importantes que alejaban a Duqu de Stuxnet: por un lado no usaba 0-days, y por otro no se esparcía como un gusano buscando sistemas a los que infectar. Ahora parece que la relación se estrecha, a medida que se conoce la sofisticación de Duqu.

Un análisis más exhaustivo de otras piezas del puzle ha aportado nuevos datos interesantes. Sí que usa 0 days y sí que se multiplica, pero de otras "formas".

Al parecer el troyano venía escondido en un archivo doc para Word. Conseguía que la víctima inicial intentase ver el contenido del archivo a través de ingeniería social. A partir de ahí, se infectaba el sistema. Aquí, según el informe original de Symantec:

When the Word document is opened, the exploit is triggered. The exploit contains kernel mode shellcode, which will first check if the computer is already compromised

Aquí es donde surge una pequeña duda o confusión que permite lanzar quizás una hipótesis. A falta de que Microsoft confirme todos los detalles, podríamos estar hablando de dos  vulnerabilidades: una en Word que permite la ejecución de código y  otra en el kernel que permite la elevación de privilegios. Para instalar drivers en el sistema como pretende Duqu, necesita los máximos privilegios. Por tanto, al igual que hacía Stuxnet (que contenía hasta cuatro 0 days para conseguirlo) le es muy útil este tipo de exploits. Sin embargo, es posible que también aproveche otro vector como el Word para conseguir una primera ejecución de código. Esto tendrá que ser aclarado cuando Microsoft, que ya está investigando el asunto, emita un aviso oficial. También es posible que llame directamente a algún componente interno sin necesidad de vulnerabilidad en Word (como ocurría con las vulnerabilidades corregidas en MS11-077 en las fuentes). En principio, sólo Microsoft y Symantec disponen del binario adecuado para saberlo.

Lo que está claro, es que no habrá  solución a esta o estas vulnerabilidades para el día 8 de noviembre, que coincide con el ciclo de parcheo mensual de la compañía.

Sobre la replicación, Duqu se difunde de forma "curiosa". No es una habilidad intrínseca (ya apuntábamos que lo que Symantec analizó era un "medio" y no el "fin") sino que se le puede indicar a través de comandos externos una vez instalado. Así, los atacantes pueden ordenar al troyano por comandos externos que se replique en carpetas compartidas (a través de tareas programadas, como hiciera Stuxnet). Más interesante aún es su comportamiento si el sistema no  pudiese comunicarse con el C&C (centro de control) remoto por cualquier razón: en estos casos, toma la configuración y órdenes de otros sistemas compartidos e infectados. Como una especie de P2P entre sistemas troyanizados si el "maestro" no  se encuentra disponible. Un interesante método de supervivencia,  puesto que permite controlar varias máquinas interconectadas aunque solamente una tenga acceso al C&C.

Por último, otro dato interesante es que en cada víctima se han encontrado un conjunto de ficheros diferentes, gobernados por un C&C "dedicado" por cada compañía atacada.

Según los hashes que ha publicado Symantec en su informe sobre los binarios que descarga Duqu desde el C&C, la primera muestra relacionada llegó el 1 de septiembre a VirusTotal, mientras que el resto, curiosamente, se recibieron todas el 24 de octubre. Sus fechas de compilación varían del 1 de junio hasta el 17 de octubre. Con respecto a los drivers (el "núcleo" de Duqu), sin embargo, tienen fecha de compilación de hasta marzo de 2010.

Más información:

The precursor to the next Stuxnet

W32.Duqu

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet.pdf

Duqu, ¿el nuevo malware descendiente de Stuxnet?

http://unaaldia.hispasec.com/2011/10/duqu-el-nuevo-malware-descendiente-de.html

Windows kernel 'zero-day' found in Duqu attack

http://www.zdnet.com/blog/security/windows-kernel-zero-day-found-in-duqu-attack/9737?tag=nl.e589

Microsoft unlikely to patch Duqu kernel bug next week

http://www.computerworld.com/s/article/9221373/Microsoft_unlikely_to_patch_Duqu_kernel_bug_next_week

The Mystery of Duqu: Part Three

http://www.securelist.com/en/blog/208193206/The_Mystery_of_Duqu_Part_Three

Sergio de los Santos

ssantos@hispasec.com

Twitter: @ssantosv