Llegamos a ustedes gracias a:



Reportajes y análisis

Operación Medre: Ataque dirigido en el Perú

[05/07/2012] La semana pasada ESET Latinoamérica hacía público que había detectado una inusual cantidad de infecciones en computadoras peruanas. El malware que se había encontrado recibió el nombre de ACAD/Medre.A, y despertó el interés de los investigadores de la firma de seguridad informática ya que resultaba muy extraño que un malware se concentrara en un solo país.
Aproximadamente el 96% de las detecciones de este malware se presentaron en máquinas peruanas. Más extraño aún, el objetivo era atacar archivos de AutoCAD y sustraer información hacia un servicio de correo electrónico en China. Era, realmente, la primera vez que se conjugaban tantos elementos tan poco comunes en un mismo escenario.
Pero, más importante aún, dejaba en el ambiente la pregunta de quién pudo haber realizado tal ataque y cuál era el objetivo. La focalización de la amenaza y otros factores que se fueron encontrando durante la investigación hacen suponer que existe una enorme probabilidad de que el autor se encuentre en el Perú, y que incluso ya haya logrado su objetivo.
Sebastián Bortnik, coordinador de Awareness & Research de ESET Latinoamérica, aprovechó la conferencia de prensa en la que ESET presentó hace un par de días sus nuevos productos corporativos para realizar una detallada explicación de los hallazgos que realizaron al investigar este malware. En pocas palabras, nos ofreció una cronología de las investigaciones que llevaron al descubrimiento de este ataque focalizado.
El ataque
La historia del descubrimiento de este ataque comenzó con unas estadísticas provenientes del ESET Live Grid. Éste es un sistema que se encarga de recopilar la información de los ataques sufridos por los usuarios de los productos ESET y de generar un mapa del mundo en el que los países van adquiriendo diversos colores -siendo el rojo indicativo del nivel más alto- dependiendo de cuán infectados se encuentren con respecto a determinado malware.
Hace ocho semanas, Bortnik utilizó el sistema para analizar los códigos maliciosos con mayor presencia en el Perú -iba a dar una charla y deseaba utilizar estos datos en su presentación-, y se dio con la sorpresa que al analizar el mapa de infecciones para el ACAD/Medre.A, el mapa mundial solo ofrecía un país en rojo, el Perú; todos los demás se encontraban celestes, color indicativo de un nivel de infección muy bajo o inexistente.
Nunca habíamos visto esto -que un solo país latinoamericano se encuentre marcado-, y cuando digo nunca me refiero realmente a ello, no es solo una expresión. Para hacernos una idea, el color celeste significa que la infección va del 0% al 1% y el rojo más de 10%, sostuvo Bortnik.
Otra característica que llamó la atención del investigador es que al observar el top 10 de amenazas de la lista por lo general se encuentran amenazas tipo Win.32, es decir, archivos ejecutables de Windows, o tipo HTML o JS que son amenazas web (páginas web infectadas). Sin embargo, el código malicioso que acababan de encontrar era un ejecutable de AutoCAD, algo muy extraño para la lista de las top 10.
Hasta llegamos a dudar si es que se había producido algún error en los sistemas que produjera esto, enfatizó Bortnik. Pero no lo era.
El caso comparable más cercano fue el de los spybanker brasileños, unos troyanos desarrollados en Brasil para atacar bancos de este país, pero aun así su tasa de infección llegaba solo al 54%; ACAD/Medre.A superaba ampliamente este nivel. Era sin duda un caso sui generis.
Esto nos comprobaba que el código malicioso [Medre] era un ataque dirigido, sostuvo Bortnik.
El siguiente paso
Una vez que se determinó que el ataque se encontraba dirigido hacia el Perú, el siguiente paso en la investigación realizada por ESET era determinar qué hacía el malware; es decir, qué le pasaba a una máquina cuando se infectada con este código malicioso. Esa fue la siguiente etapa.
El equipo, entonces, analizó el malware. Los investigadores determinaron que se trataba de un gusano que había sido escrito en lenguaje AutoLISP -una variante del lenguaje de programación LISP- que permite ejecutar código en proyectos de AutoCAD.
El gusano tenía básicamente dos funcionalidades. La primera de ellas era copiarse a sí mismo en distintas ubicaciones del sistema para continuar su propagación. Si una persona se infectaba con este gusano, a partir de ese momento cada proyecto de AutoCAD que abriera en su computadora pasaría a infectarse.
El segundo componente -la acción maliciosa o payload en sí- era enviar cada proyecto de AutoCAD que se abriera en la computadora a un servidor de correo en China.
Es algo bastante extraño pues antes habíamos encontrado infecciones a proyectos de AutoCAD, pero [en esos casos] la intención no era robarlos sino usarlos como un medio [para propagarse], señaló Bortnik.
El uso de los archivos AutoCAD en el proceso de ataque obligó al equipo de Bortnik a entender la lógica del funcionamiento de esta aplicación de diseño. Como es comprensible, en el equipo de investigación no usaban AutoCAD así que tuvieron que acudir a usuarios expertos que les pudieran aclarar las dudas que iban a aparecer en el proceso de investigación.
¿Cómo operaba el malware?
Los archivos de AutoCAD generan una extensión .dwg, es decir, el archivo con esta extensión es el que se usa para abrir un proyecto en este programa. Sin embargo, al hacerlo, AutoCAD utiliza una funcionalidad por defecto que hace que cada vez que se abra un archivo .dwg, el programa busque en la misma carpeta otros archivos que se identifican mediante la extensión .fas -que son los que conforman el proyecto de AutoCAD- y los ejecute.
El código malicioso afecta a los archivos con extensión .fas. Específicamente, lo que hace es tomar uno de estos archivos -con extensión .lsp- y alterarlo para que se convierta en su vehículo de transmisión y así poder infectar otros archivos de AutoCAD.
El malware también genera un archivo .vbs -un script- que se encarga de enviar todo el proyecto por correo electrónico.
Al analizar el malware el equipo encontró que el código podía alterar archivos .lsp desde la versión 14 hasta la 19.2 de AutoCAD, y que el atacante preparó el malware para que pudiera infectar incluso archivos hasta el año 2015.
Al seguir analizando el malware, el equipo de ESET encontró que dentro de él se podía identificar una función que creaba un correo electrónico (MAKEMAIL) y que contenía los nombres de 46 usuarios y contraseñas para dos servicios de correo en China.
El código malicioso, entonces, elegía una de estas cuentas en forma aleatoria para conformar un mensaje de correo electrónico con el proyecto de AutoCAD como adjunto.
El mensaje era enviado a una dirección de correo electrónico -que no se pudo determinar- que, se supone, era la del atacante. Lo extraño es que el correo, además del archivo adjunto de AutoCAD, tenía poca información en el cuerpo del mensaje: solo la ruta de donde sustrajo el archivo.
Un archivo de AutoCAD es un plano o un diseño industrial, así que cualquiera de ellos contiene información sensible para la persona que lo desarrolló, resaltó Bortnik.
Más detalles
Analizando con mayor profundidad -con ingeniería reversa- el código malicioso, el equipo descubrió los usuarios y contraseñas de los servidores SMTP que el atacante estaba usando. Decidió entonces ingresar a los servidores para investigar la magnitud del ataque y descubrió que hace aproximadamente un año los correos enviados desde esos servidores -hacia el correo electrónico del atacante- rebotaban. Esto les permitió ver los archivos que se habían sustraído en ese periodo.
Había miles de archivos, de hecho, se estimó que habían sido sustraídos más de 10 mil archivos únicos. Era una operación de gran magnitud, sin duda.
Luego de llegar hasta este nivel con la investigación, el equipo de ESET contactó con AutoDesk, los creadores de AutoCAD, y le proporcionó la información que había recopilado. También contactó con los dos servicios de correo que el atacante estaba usando en China; uno de ellos decidió deshabilitar todas las cuentas, mientras que el otro solicitó a ESET que iniciara acciones legales en China para hacerlo.
También contactamos con diferentes organismos del Perú. De hecho, nuestra presencia aquí no solo tiene que ver con la conferencia de prensa, sino que estamos acercándonos a organismos gubernamentales que son competentes en el caso y a las instituciones que han sido afectadas, sostuvo Bortnik.
ESET también desarrolló un cleaner gratuito para que los usuarios de AutoCAD puedan eliminar la amenaza.
Al preguntársele sobre los organismos y la información afectada Bortnik indicó que no podía brinda esa información, pero sí confirmó que encontraron organismos de alta sensibilidad infectados y que había información muy sensible infectada.
De hecho, el equipo de ESET se estuvo reuniendo en días pasados con representantes de los organismos infectados y con la unidad de delitos informáticos de la policía.
Existe un límite en lo que nosotros podemos investigar. Pero lo que sí le puedo confirmar es que el hecho de que se envíen los archivos a China no significa que sea un chino el que hizo el ataque. Podría ser un peruano; y entre todas las hipótesis posibles muchas encajan en que hay un interés local, señaló el investigador.
Al preguntársele por el motivo por el que los correos rebotaron, Bortnik señaló que esto ya lleva un año de rebotes. Lo que nosotros creemos es que esta persona lanzó el ataque, obtuvo lo que quiso y lo dejó andando. Ya obtuvo lo que quería; quizás solo quería un archivo.
Jose Antonio Trujillo, CIO Perú