Operación Sharpshooter: ciberataques dirigidos a infraestructuras críticas

Fecha de publicación 01/04/2019
Autor
INCIBE (INCIBE)
Sharpshooter

Antecedentes a Sharpshooter e impacto de la campaña

A finales de 2018 salía a la luz una campaña con enfoque mundial de ciberespionaje, denominada Operación Sharpshooter, que estaba centrada en infraestructuras críticas de varios sectores. Según las fuentes que lo analizaron al descubrirlo (McAfee Advanced Threat Research), esta operación contiene el denominado malware Rising Sun, que se trata de una puerta trasera (backdoor) modular que se encarga de realizar el reconocimiento de la red objetiva para obtener información. Se percataron de que el troyano con funcionalidad de backdoor Duuzer utiliza un código fuente muy similar. De manera más concreta, se puede apreciar que los malware Rising Sun y Duuzer comparten, a grandes rasgos, la forma en la que descifran los datos de configuración y también la información que intentan exfiltrar para su posterior utilización.

La última vez que se detectó el troyano Duuzer fue en 2015, afectando a países como Corea del Sur y Japón. Además de éste, algunos ataques predecesores a esta nueva campaña, y con los que puede estar relacionado, son el ya conocido Wannacry y también el ciberataque a Sony Pictures en 2014.

Sharpshooter apareció en octubre de 2018 y se ha introducido en 87 organizaciones alrededor del mundo, teniendo como foco infraestructuras críticas de ámbito nuclear, bancario, eléctrico y militar, relacionadas, sobre todo, con Estados Unidos y países de habla inglesa. El análisis de nuevas pruebas ha revelado similitudes entre los indicadores técnicos, los procedimientos y las técnicas utilizadas en los ataques de Sharpshooter en 2018, y diversos aspectos de otros ataques atribuidos al grupo Lazarus. Esto incluye, por ejemplo, el uso por parte del grupo Lazarus de versiones similares de Rising Sun que se remonta a 2017, y el código fuente de Duuzer utilizado en 2016.

Funcionamiento de Sharpshooter

El modus operandi de Sharpshooter consiste en engañar a los usuarios de las empresas afectadas para poder introducir documentos Word maliciosos, haciendo uso de técnicas de ingeniería social consistentes en obtener información de las víctimas. En esta campaña se usó la técnica denominada spear phishing, un tipo de phishing más específico en sus objetivos y que no tiene un alcance tan global. Requiere una investigación más personal de la víctima, en este caso eran correos con ofertas de trabajo donde ubicaban los documentos, y para ello se necesita información adicional para que el objetivo fuese engañado por completo. Dentro de estos ficheros .doc se encuentra una shellcode que se ejecuta mediante una macro en Word, y su principal uso es poder introducir, mediante una descarga, el malware Rising Sun para la siguiente etapa. Esta shellcode sigue cuatro pasos para infectar el dispositivo con la carga útil o maliciosa (payload a partir de ahora) de la segunda etapa:

  • Primero, crea los nombres de las librerías y la API al rellenar vectores (arrays) de cadenas utilizando bytes codificados. De esta manera, se pueden construir todas las cadenas (strings) en la shellcode, incluso la información del servidor de control y comando (C&C).
  • Resuelve las bibliotecas y las API utilizando LoadLibraryA() y GetProcAddress().
  • Gracias a la shellcode, desde el servidor de control y comando se descargan 2 archivos:
    • El payload de la siguiente etapa, que se almacenará en la carpeta de inicio del dispositivo y, de esta forma, se asegura que el malware que se acaba de introducir (Rising Sun) pueda permanecer en el sistema objetivo.
    • Un segundo documento de Word, con código OLE (Object Linking and Embedding), que realmente es benigno, es decir, es un señuelo con el fin de ocultar el contenido malicioso y centrarse en este documento.
  • Después de que ambas descargas hayan terminado, se ejecutan ambos payload:
    • El malware Rising Sun se ejecuta usando la API CreateProcessA().
    • El documento Word de señuelo se abre mediante ShellExecuteA().

Modo de funcionamiento de Sharpshooter

-Modo de funcionamiento de Sharpshooter. Fuente: McAfee-

Rising Sun se importa del servidor de control y comando a través de la resolución dinámica de las funciones LoadLibrary() o GetProcAddress() de la API. La biblioteca y los nombres de la API están codificados como valores DWORD/WORD, que luego se tienen que descifrar.

Los datos de configuración utilizados por el malware introducido se cifran usando el algoritmo RC4, después éste descifrará los datos de configuración en tiempo de ejecución y también para comunicarse con el C&C, si es necesario.

Ahora que ya está asentado, Rising Sun recupera los siguientes datos e información y los exfiltra al servidor de control y comando:

  • Información del adaptador de red
  • Nombre del dispositivo
  • Nombre de usuario
  • Información de la dirección IP
  • Información del sistema

Habría que añadir que se descifra información adicional a la ya mencionada en el proceso de reconocimiento de datos, y aunque estos datos no son usados en su totalidad por este malware, sí podría ser posible que se utilizasen con otra variante.

Antes de proceder con la última parte del ataque, Rising Sun termina con la recopilación de toda esta información, que cifra usando otra vez el algoritmo RC4. Además, se incluye otra capa que codifica estos datos mediante una codificación de Base64.

La fase final es la exfiltración de los datos por parte del malware hacia el servidor de control y comando.

Conclusiones

  • Sharpshooter es un ejemplo de cómo el nivel de sofisticación de los ciberataques va aumentando con el tiempo y a su vez la detección de los mismos es cada vez más compleja. Aun así, se siguen utilizando técnicas tradicionales, en este caso la ingeniería social.
  • Cada vez se realizan más campañas de ataques dirigidos en vez de ataques aislados, llevados a cabo por grupos bien organizados. Sus objetivos son las infraestructuras críticas de diferentes sectores (bancario, militar, energético, etc.).
  • El uso del sentido común y concienciar al personal sobre cómo evitar ataques de ingeniería social, mediante una pequeña formación, son puntos importantes para que estas amenazas no sean tan eficaces.

Es muy pronto para saber qué se quiere conseguir con este malware o si tendrá más repercusión. Lo ideal sería estar alerta en el entorno industrial y reportar toda la información que vaya apareciendo a las empresas afectadas y a posibles objetivos de manera constante, mediante un seguimiento del mismo por parte de equipos de ciberseguridad, ya que al conocer su funcionamiento podremos anticiparnos a él y evitar riesgos innecesarios.

Etiquetas