Cibercriminales, con Suramérica en la mira

SUMINISTRADA - EL NUEVO DÍA
Symantec ha conectado campañas de ataques anteriores del grupo Sowbug, lo que demuestra que ha estado activo desde principios de 2015 y puede haber estado operando incluso antes.

La empresa de seguridad Symantec Corporation descubrió que un grupo apodado Sowbug ha llevado a cabo ciberataques principalmente dirigidos contra organizaciones en América del Sur y el Sudeste Asiático, y parece estar muy centrado en instituciones de política exterior y objetivos diplomáticos.

 

Grupo de atacantes al descubierto

Symantec vio la primera evidencia de actividad relacionada con Sowbug con el descubrimiento en marzo de 2017 de un malware completamente nuevo llamado ‘Felismus’, y que fue utilizado contra un objetivo en el Sudeste Asiático, pero luego identificó más víctimas en ambos lados del Océano Pacífico.

Aunque la herramienta de ataque Felismus se identificó por primera vez en marzo de 2017, su asociación con Sowbug era desconocida hasta hace poco.

Hasta la fecha, Sowbug parece enfocarse principalmente en entidades gubernamentales en América del Sur y el Sudeste Asiático y se ha infiltrado en organizaciones en Argentina, Brasil, Ecuador, Perú, Brunei y Malasia.

El grupo tiene muchos recursos, es capaz de infiltrarse en múltiples objetivos simultáneamente y a menudo opera fuera de los horarios de trabajo de las oficinas que son el ‘target’ para guardar un bajo perfil. Pistas sobre la motivación e intereses de los atacantes pueden encontrarse en lo que hacen después de comprometer a las víctimas.

 

Intromisiones altamente dirigidas

En un ataque de 2015 contra un Ministerio de Relaciones Exteriores sudamericano, el grupo parecía buscar información muy específica. La primera evidencia de su intromisión data del 6 de mayo de 2015, pero la actividad pareció haber comenzado en serio el día 12 de mayo.

Los atacantes parecían estar interesados en la división del ministerio responsable de las relaciones con la región Asia - Pacífico, e intentaron extraer todos los documentos de Word almacenados en un servidor de archivos perteneciente a esta división y agruparlos en un archivo comprimido.

Curiosamente, en el ataque se especificó que solo datos modificados desde el 11 de mayo de 2015 en adelante debían archivarse.

El archivo parece haber sido extraído con éxito, porque una hora más tarde hubo un intento por extraer todos los documentos modificados a partir del 7 de mayo de 2015, un valor adicional de cuatro días de datos. O bien los atacantes no encontraron lo que buscaban en la incursión inicial, o algo en los documentos que robaron los impulsó a obtener más información.

El siguiente paso consistió en enumerar las unidades compartidas en red y luego intentar acceder a recursos remotos pertenecientes a la oficina gubernamental específica a la que apuntaban, una vez más intentando extraer todos los documentos de Word.

En este caso, buscaron cualquier documento modificado desde el 9 de mayo. Los atacantes entonces parecieron ampliar su interés, pues enumeraron los contenidos de varios directorios en acciones remotas, incluso uno que pertenece a otra división del Ministerio de Asuntos Exteriores sudamericano, este responsable de las relaciones con organizaciones internacionales. También desplegaron dos cargas útiles desconocidas en el servidor infectado. En total, los atacantes permanecieron en presencia en la red del objetivo durante cuatro meses, entre mayo y septiembre de 2015.

 

Perfil bajo como un método de supervivencia

Sowbug con frecuencia conserva presencia a largo plazo en las redes de organizaciones específicas, permaneciendo dentro del dispositivo de las víctimas hasta por seis meses.

Una de las tácticas que usa para evitar llamar la atención es hacerse pasar por los paquetes de software comúnmente utilizados, como Windows o Adobe Reader, para esconderse a plena vista, ya que es poco probable que su aparición en las listas de procesos despierte sospechas.

Por ejemplo, en septiembre de 2016, Sowbug se infiltró en una organización en Asia, introdujo a Felismus por las puertas traseras en una de sus computadoras usando el nombre de archivo adobecms.exe, desde el que instaló componentes y herramientas adicionales en un directorio que aparentaba ser de seguridad de Microsoft. Luego, los atacantes recopilaron información del sistema operativo, de la configuración del hardware y de la red, e hicieron reconocimiento adicional, al intentar identificar todas las aplicaciones instaladas en la computadora.

Regresaron cuatro días después, creando un subdirectorio llamado “común” en el directorio de Adobe de la carpeta Archivos de programa, donde instalaron otra herramienta, nuevamente llamada adobecms.exe, posiblemente una versión actualizada de su software de ataque.

El reconocimiento de la red pareció ser exitoso, porque se identificó y comprometió una segunda computadora de interés en la organización. Los atacantes usaron un archivo ejecutable llamado fb.exe, presumiblemente para copiar Felismus a través de la red a otras computadoras. Existe evidencia de que los atacantes lo usaron para intentar infectar al menos dos computadoras más.

Los atacantes tomaron medidas adicionales para permanecer bajo el radar llevando a cabo sus operaciones fuera del horario de oficina, y conservaron una presencia en la red del objetivo durante casi seis meses, entre septiembre de 2016 y marzo de 2017.

 

Vectores de infección

No se sabe cómo Sowbug desarrolla su infiltración inicial en la red de un objetivo. En algunos casos, no había rastro sobre la manera en que Felismus llegó a las computadoras comprometidas, lo que significa que probablemente fue implementadoó desde otras computadoras que estaban comprometidas en la red.

En otros ataques, hubo pruebas de que Felismus se instaló utilizando una herramienta conocida como Starloader, detectada por Symantec como Trojan.Starloader. Este es un cargador que instala y descifra datos de un archivo llamado Stars.jpg. Además, se observó que Starloader implementaba herramientas adicionales utilizadas por los atacantes, como los dumpers de credenciales de usuario y los registradores de pulsaciones de teclas.

Todavía no se sabe cómo Starloader está instalado en la computadora comprometida. Una posibilidad para ello es que los atacantes utilicen actualizaciones de software falsas para instalar archivos. Symantec ha encontrado pruebas de que los archivos de Starloader tienen nombres como AdobeUpdate.exe, AcrobatUpdate.exe e INTELUPDATE.EXE.

Estos, se usaron para crear versiones de las puertas traseras de Felismus y otras herramientas.

Credito
JUAN MARTÍNEZ MARTÍNEZ

Comentarios