ARTICULOS
- Como se realizo uno de los mayores ataques Informaticos de la historia Parte II
El siguiente es la segunda parte de un artículo el cual describe el funcionamiento de la Ingenieria Social y de las Amenazas Persistentes Avanzadas (APT) y como con ellas, los hackers pudieron ingresar a los sistemas de la empresa RSA Security (Famosa por sus tokens), este artículo publicado originalmente en Ingles en el Blog de RSA describe este proceso en forma detallada, el equipo de consultores de ISEC, creyó por conveniente traducirlo, puesto que detalla no solo como funcionan, si no como se aplicaron en un ataque real, el cual fue muy comentado en el ambiente de la seguridad alrededor de todo el mundo, convirtiendose en uno de los mayores ataques en la historia.
La teoría actual es que cierto gobierno quiso irrumpir en Lockheed-Martin y Northrop-Grumman para sustraer secretos militares. No lo pudieron lograr debido a que dichas compañías utilizaban las credenciales (tokens) SecurID de RSA para autenticación en la red. De tal manera que los hackers irrumpieron en RSA mediante ataques con correos electrónicos dirigidos específicamente a empleados. Sembraron un sistema de puerta trasera o “backdoor” y eventualmente tuvieron acceso a la información de SecurID lo cual les permitió regresar a sus objetivos originales e irrumpir de manera exitosa. Como consecuencia de este ataque, RSA se vio forzada a reemplazar las credenciales SecurID a sus clientes en todo el mundo.
Ya por el mes de abril 2011 sabíamos que se había lanzado el ataque por medio de un correo electrónico cuyo objetivo eran los empleados de EMC (EMC es propietaria de RSA) y además que dicho correo tenía como adjunto el archivo llamado “2011 Recruitment plan.xls”. RSA reveló esta información en una publicación de su blog. El problema era que no teníamos el archivo en cuestión. Y al parecer nadie lo tenía, las listas de correo de los investigadores del software antivirus estuvieron muy activas en discusiones sobre dónde ubicar el archivo. Nadie lo tenía y eventualmente estas discusiones cesaron.
Este hecho le preocupó a Timo Hironen. Timo es analista en nuestros laboratorios y estaba convencido que él podría encontrar el archivo. Durante semanas desde el mes de abril regresaba a nuestras colecciones de decenas de millones de muestras de malware intentando escudriñar para lograr encontrar este archivo, sin éxito alguno. Hasta que fue por fin hallado.
Timo escribió una herramienta de análisis de información que se ejecutaba en muestras para objetos Flash. Teníamos conocimiento que el archivo XLS en cuestión utilizaba un objeto Flash para tomar el control del sistema. Esta nueva herramienta ubicó varias muestras relevantes. Sin embargo, una de ellas resultó no ser un archivo de Excel. Era un archivo de mensaje de Outlook (MSG). En el momento en que Timo la abrió, supuso que estaba frente a algo importante. El archivo del mensaje resultó ser el correo original enviado a RSA el día 3 de Marzo, y estaba con el archivo adjunto 2011 Recruitment plan.xls.
Luego de cinco meses, finalmente llegamos a obtener el archivo.
Y no solamente eso, llegamos a tener el correo electrónico original. Resulta que alguien (muy probablemente un empleado de EMC/RSA) había cargado tanto el correo electrónico como el adjunto al servicio de escaneo en línea de Virustotal el día 19 de marzo (Figura 1) y, como se estableció en términos de Virustotal, los archivos cargados serían compartidos con grupos competentes en la industria del anti-malware y seguridad. Por esta razón, todos ya teníamos el archivo en nuestro poder. Simplemente no lo sabíamos y no lo podríamos encontrar entre los millones de muestras.
La muestra fue cargada el 19 de Marzo como file-1994209_msg
Entonces, ¿cómo es que se veía el correo electrónico? Era un correo fraudulento que pretendía hacer creer que provenía de la página Web de contrataciones Beyond.com. En el asunto se leía “2011 Recruitment plan” (plan de contrataciones del 2011) y una línea en su contenido:
"I forward this file to you for review. Please open and view it". (“Le envío este archivo para su revisión. Por favor ábralo y véalo”)
El mensaje fue enviado a un empleado de EMC y con copia a otras tres personas de la misma compañía (Figura 2)
Cuando se abrió el archivo adjunto XLS, se vio de la siguiente manera (Figura 3)
Aquí se presenta un video de YouTube (http://www.youtube.com/watch?v=v8Ry1C8AnXk&feature=youtu.be&hd=1) que muestra lo que ocurre cuando se abre el archivo Excel malicioso.
En este video se puede ver cómo abrimos el mensaje de Outlook y así mismo el adjunto. El objeto Flash incorporado se muestra como un símbolo [X] en la hoja de cálculos. Dicho objeto es ejecutado por Excel (¿por qué rayos Excel soporta Flash incorporado es una buena pregunta?). Luego, el objeto Flash utiliza la vulnerabilidad CVE-2011-0609 para ejecutar el código e inyectar un sistema de “puerta trasera” (backdoor) de Poison Ivy. El código ejecutado cierra el Excel y con esto termina la infección.
Luego de esto, Poison Ivy se conecta a su servidor en good.mincesur.com. Este dominio ha sido utilizado en ataques similares de espionaje por un periodo largo de tiempo (Figura 4)
Una vez realizada la conexión, el atacante tiene acceso remoto total a la estación de trabajo infectada. Peor aún, tiene acceso completo a las unidades de red del usuario. Aparentemente los atacantes avanzaron aún más hasta lograr el acceso a la información crítica de SecurID, que era la que estaban buscando.
El correo electrónico con el cual atacaron no se veía demasiado complicado. A decir verdad, es muy sencillo. Sin embargo, el código malicioso dentro de Excel era de Día-cero (Zero-day) en ese momento y RSA no tuvo oportunidad de protegerse contra éste instalando el parche de la vulnerabilidad en sus sistemas.
Entonces, ¿Era este una forma de ataque avanzado? El correo electrónico en sí no era avanzado. El sistema de “puerta trasera” (backdoor) no era avanzado. Pero el código malicioso sí era avanzado. Así mismo el objetivo final era avanzado. Si alguien hackea a un proveedor de seguridad simplemente para tener acceso a los sistemas de sus clientes, podríamos decir que el ataque es avanzado; aun cuando alguno de los pasos intermedios no fuera muy complicado.
P.D: Para aquellos que todavía buscan la muestra:
MD5 of the MSG file: 1e9777dc70a8c6674342f1796f5f1c49
MD5 of the XLS file: 4031049fe402e8ba587583c08a25221a
Si deseas tener una copia digital de este artículo, por favor dirígete al siguiente enlace (http://www.isec.pe/Contactenos.php), completa tus datos y solicítalo, gracias.
Traducido por: Equipo de Consultores ISEC
ACTIVIDADES
TODOS LOS DERECHOS RESERVADOS ©2022