LURID: la atribución no es sencilla

Artículo original de David Sancho y Nart Villeneuve (Directores de investigación de amenazas)

Saber con certeza quién está detrás de los ataques dirigidos es una tarea complicada. Requiere una combinación de análisis técnico y contextual sumada a la capacidad de relacionar datos dispersos a lo largo del tiempo. Además, los investigadores no suelen disponer de todas las informaciones necesarias y se ven obligados a interpretar las pruebas disponibles. Con demasiada frecuencia, la atribución se basa única y exclusivamente en pruebas falseadas con gran facilidad tales como direcciones IP y registros de nombre de dominio.

Esta publicación es una continuación de la publicada ayer. Incluye información de referencia sobre los ataques LURID y sobre la relación con los ataques Enfal anteriores para contextualizar el caso presente.

Resulta interesante saber que, a pesar de que los ataques Enfal previos se habían atribuido a China, en este caso, las direcciones IP de los servidores de comando y control (C&C) pertenecían a Estados Unidos y el Reino Unido. Sin embargo, la información de registro de los nombres de dominio utilizados sugiere que los propietarios están en China. En cualquier caso, no es nada difícil manipular esta información. Ninguno de estos dos elementos son determinantes por si mismos para averiguar la atribución del ataque.

Historia de Enfal

La historia de este malware, junto con la naturaleza de algunas de las víctimas seleccionadas, ofrece algunas pistas. El malware de los ataques “Lurid Downloader” se conoce popularmente como “Enfal” y se ha venido utilizando en ataques dirigidos desde el año 2006. En el 2008, Maarten Van Horenbeeck documentó una serie de ataques de malware dirigidos que utilizaron el troyano Enfal para atacar organizaciones gubernamentales y no gubernamentales (ONG), así como contratistas de defensa y empleados del gobierno de los EE.UU..

En el año 2009 y 2010, investigadores de la Universidad de Toronto publicaron informes sobre dos redes de ciberespionaje, conocidas como “GhostNet” y “ShadowNet”, que contenían malware e infraestructuras de comando y control conectadas con el troyano Enfal. Además, los nombres de dominio utilizados por Enfal como servidores C&C están vinculados, según la filtración de documentos diplomáticos de los EE.UU. a WikiLeaks, a una serie de ataques conocidos como “Byzantine Hades.” Según los documentos filtrados, estos activistas llevan perpetrando amenazas desde 2002, y existen subgrupos de esta actividad conocidos como “Byzantine Anchor,” “Byzantine Candor” y “Byzantine Foothold.”

Cabe destacar, además del uso de Enfal, lo que parece ser la existencia de diferentes conjuntos de infraestructuras de C&C; no obstante, la relación entre los usuarios que controlan cada una de estas infraestructuras todavía es un misterio.

 

LURID y Enfal… ¿están relacionados o no?

Parece ser que los ataques Lurid Downloader conforman una red independiente, pero relacionada a su vez con la red Enfal por su foco geográfico. A pesar de las pruebas que demuestran claramente que la comunidad tibetana también es uno de los objetivos, resulta curioso que la mayoría de las víctimas del ataque se concentren en Rusia y otros países de la CEI. El análisis realizado nos ha permitido determinar que muchas embajadas y ministerios gubernamentales, incluidos algunos de Europa Occidental, han estado expuestos al peligro, así como instituciones de investigación y organismos relacionados con el sector espacial.

La utilización de Enfal, la familia de malware a la que pertenece Lurid Downloader, ha estado vinculada históricamente a activistas de China. En este caso, el vector de ataque (un correo electrónico malicioso con un archivo adjunto igualmente malicioso) que pudimos analizar estaba relacionado con la comunidad del Tíbet, lo que muchos consideran un indicio de asociación con China. Sin embargo, las entidades chinas también fueron víctimas del ataque Lurid Downloader.

Hemos elaborado un informe que se publicará en breve en el que se resume la historia de estos ataques y se esboza el contexto de los mismos, además de incluir varios análisis técnicos detallados; a pesar de ello, no se llegan a atribuir los ataques a ninguna entidad en concreto. No podemos dejar de destacar que todavía no se sabe del cierto quién está detrás de los ataques Lurid Downloader.

La atribución no es sencilla.

Si desea obtener más información sobre este ataque, consulte nuestro artículo técnico: La amenaza “LURID” Downloader.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

*

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>