Hace una
semana, la empresa de seguridad Blue Coat ha revelado un importante APT
(Advanced Persistent Threat, Amenazas Persistentes Avanzadas) que ha afectado a
entidades petroleras, financieras, embajadas y gobiernos.
Detalles del ataque
- Gracias al tipo de infección y los idiomas usados, sabemos que se ha empleado para atacar a países como Rusia, Rumania, Venezuela, Paraguay, etc. El atacante ha podido recoger datos confidenciales a través de malware diseñados para la plataforma Windows y plataformas móviles como Android, IOS, y Blackberry.
- El ataque ha sido bautizado por Blue Coat como "The inception Framework". Kaspersky en cambio le ha dado el nombre de "Cloud Atlas", esta compañía ha destacado su gran parecido con un viejo conocido: Red October (Octubre Rojo). Realmente el formato de determinados correos de phishing empleados o de ciertas partes de código es muy semejante a aquel malware de hace dos años.
- Sin embargo en esta ocasión lo que destaca especialmente es el uso de malware dirigido a dispositivos móviles. Nos han parecido especialmente interesantes los ataques realizados a plataformas Android, por lo que vamos a mostrar un análisis más detallado del malware empleado.
- Los atacantes han usado el correo para llegar a sus víctimas. Abajo se muestra un ejemplo de un correo destinado al gobierno de Paraguay. Al acceder desde un móvil Android , el usuario descargaba la aplicación "WhatsAppUpdate.apk" que hacía crear al usuario que se trataba de una actualización para WhatsApp.
- La siguiente imagen muestra la lista de permisos requeridos por la aplicación. A primera vista, vemos que el atacante está muy interesado por las comunicaciones de la victima (llamadas y registros de llamadas), los SMS recibidos, su ubicación, su calendario, su lista de contactos, los favoritos de su navegador y archivos.
- Según la fechas de los archivos contenidos dentro del malware fue programado el 13 de octubre 2014 (hace 3 meses que está activo). Además, la aplicación parece estar desarrollada por indios, por la presencia de comentarios en hindú. ¿Los indios estarían interesados en la recogida de información confidencial de países de América Latina?
- Además, el malware tiene un servicio para grabar las conversaciones durante las llamadas telefónicas
El atacante ha atacado y modificado tres blogs
donde ha dispuesto un "payload" conteniendo el servidor donde recoger
los comandos y enviar los datos robados. Ha infectado los 3 blogs siguientes
para diseminar el payload:
- http://klarkvoplige.livejournal.com
- http://boberder.livejournal.com
- http://lindamenson.livejournal.com
- Cada vez que el malware roba datos (llamadas, etc.), los cifra antes de escribirlos en la carpeta personal de la aplicación. Es una manera de proteger los datos en caso de que se realice un análisis forense.
- El atacante usa el algoritmo simétrico AES "PBEWITHSHA256AND128BITAES-CBC-BC" con la contraseña "hfsdvccnbn,klkufcczdgr332hgngcbgfgjjmjj,kkl;popi,jlkl...hk,hkj,nfjy,jjjyyjhmmhfjoiligmhgjhkik,jkgmhhfttfbvvczccxzsaaaaqqznmg" y la semilla "nhnfcfafssbgf,,hlou87766gfdsfdsvd" para inicializar el algoritmo.
- Ese malware avanzado está destinado a grabar las llamadas telefónicas. El malware fue enviado directamente a empleados del gobierno de Paraguay, lo que nos sugiere que existe una entidad gubernamental detrás. Para evitar ser identificado, el atacante usa por lo menos un proxy para esconderse y así no revelar su existencia, identidad y el C&C donde guarda los datos robados.
- Blue Coat Exposes “The Inception Framework”; Very Sophisticated, Layered Malware Attack Targeted at Military, Diplomats, and Business Execs, https://www.bluecoat.com/security-blog/2014-12-09/blue-coat-exposes-%E2%80%9C-inception-framework%E2%80%9D-very-sophisticated-layered-malware
- SHA256 de la muestra analizada 21b7ab52098b8d3f90f6a36362cba6a68967ae318b07e3ac99757d2d21ba2479
- Cloud Atlas: RedOctober APT is back in style http://securelist.com/blog/research/68083/cloud-atlas-redoctober-apt-is-back-in-style/