Archivo de la etiqueta: Exploits

Radar en círculos clandestinos: posible compromiso de MySQL.com y sus subdominios

Artículo original de Maxim Goncharon (Senior Threat Researcher)

Recientemente hemos detectado una publicación interesante en un foro clandestino ruso en el transcurso de nuestras investigaciones. En estos tipos de foros, los usuarios intercambian información sobre sus actividades ilegales. Encontramos a un forero con el nick ‘sourcec0de‘ y el número ICQ ‘291149’ que actualmente ofrece acceso al directorio raíz de algunos servidores de clústeres de mysql.com y sus subdominios.

Clic para ampliar la imagen

Ilustración 1. Captura de pantalla de un foro clandestino

La captura de pantalla anterior muestra que el vendedor parece tener una ventana de una consola shell con acceso al directorio raíz de estos servidores. El precio de cada acceso empieza a partir de 3.000 dólares estadounidenses y el intercambio de dinero/acceso suele realizarse mediante el conocido sistema de depósito de garantía (garant/escrow), por el que una tercera parte de confianza verifica ambas partes de la transacción.

En investigaciones anteriores por círculos clandestinos ya nos hemos topado con el usuario ‘sourcec0de’ vendiendo cuentas de PayPal robadas y discutiendo sobre la gestión de servidores de comando y control para redes robot.

La semana pasada nos pusimos en contacto con MySQL.com para comunicarles este problema. Ahora lo hacemos público para alertar sobre el hecho de que los hackers no solo se lucran vendiendo datos robados o insertando enlaces maliciosos en mensajes de spam o phishing, sitios Web y otros posibles vectores de infección.

En este caso, y con independencia de si la mercancía de sourcec0de es real o no, podemos comprobar que los ciberdelincuentes tienen la desfachatez de vender acceso administrativo a sistemas específicos que podrían estar dañados precisamente por sus infracciones.

LURID: la atribución no es sencilla

Artículo original de David Sancho y Nart Villeneuve (Directores de investigación de amenazas)

Saber con certeza quién está detrás de los ataques dirigidos es una tarea complicada. Requiere una combinación de análisis técnico y contextual sumada a la capacidad de relacionar datos dispersos a lo largo del tiempo. Además, los investigadores no suelen disponer de todas las informaciones necesarias y se ven obligados a interpretar las pruebas disponibles. Con demasiada frecuencia, la atribución se basa única y exclusivamente en pruebas falseadas con gran facilidad tales como direcciones IP y registros de nombre de dominio.

Esta publicación es una continuación de la publicada ayer. Incluye información de referencia sobre los ataques LURID y sobre la relación con los ataques Enfal anteriores para contextualizar el caso presente.

Resulta interesante saber que, a pesar de que los ataques Enfal previos se habían atribuido a China, en este caso, las direcciones IP de los servidores de comando y control (C&C) pertenecían a Estados Unidos y el Reino Unido. Sin embargo, la información de registro de los nombres de dominio utilizados sugiere que los propietarios están en China. En cualquier caso, no es nada difícil manipular esta información. Ninguno de estos dos elementos son determinantes por si mismos para averiguar la atribución del ataque.

Historia de Enfal

La historia de este malware, junto con la naturaleza de algunas de las víctimas seleccionadas, ofrece algunas pistas. El malware de los ataques “Lurid Downloader” se conoce popularmente como “Enfal” y se ha venido utilizando en ataques dirigidos desde el año 2006. En el 2008, Maarten Van Horenbeeck documentó una serie de ataques de malware dirigidos que utilizaron el troyano Enfal para atacar organizaciones gubernamentales y no gubernamentales (ONG), así como contratistas de defensa y empleados del gobierno de los EE.UU..

En el año 2009 y 2010, investigadores de la Universidad de Toronto publicaron informes sobre dos redes de ciberespionaje, conocidas como “GhostNet” y “ShadowNet”, que contenían malware e infraestructuras de comando y control conectadas con el troyano Enfal. Además, los nombres de dominio utilizados por Enfal como servidores C&C están vinculados, según la filtración de documentos diplomáticos de los EE.UU. a WikiLeaks, a una serie de ataques conocidos como “Byzantine Hades.” Según los documentos filtrados, estos activistas llevan perpetrando amenazas desde 2002, y existen subgrupos de esta actividad conocidos como “Byzantine Anchor,” “Byzantine Candor” y “Byzantine Foothold.”

Cabe destacar, además del uso de Enfal, lo que parece ser la existencia de diferentes conjuntos de infraestructuras de C&C; no obstante, la relación entre los usuarios que controlan cada una de estas infraestructuras todavía es un misterio.

 

LURID y Enfal… ¿están relacionados o no?

Parece ser que los ataques Lurid Downloader conforman una red independiente, pero relacionada a su vez con la red Enfal por su foco geográfico. A pesar de las pruebas que demuestran claramente que la comunidad tibetana también es uno de los objetivos, resulta curioso que la mayoría de las víctimas del ataque se concentren en Rusia y otros países de la CEI. El análisis realizado nos ha permitido determinar que muchas embajadas y ministerios gubernamentales, incluidos algunos de Europa Occidental, han estado expuestos al peligro, así como instituciones de investigación y organismos relacionados con el sector espacial.

La utilización de Enfal, la familia de malware a la que pertenece Lurid Downloader, ha estado vinculada históricamente a activistas de China. En este caso, el vector de ataque (un correo electrónico malicioso con un archivo adjunto igualmente malicioso) que pudimos analizar estaba relacionado con la comunidad del Tíbet, lo que muchos consideran un indicio de asociación con China. Sin embargo, las entidades chinas también fueron víctimas del ataque Lurid Downloader.

Hemos elaborado un informe que se publicará en breve en el que se resume la historia de estos ataques y se esboza el contexto de los mismos, además de incluir varios análisis técnicos detallados; a pesar de ello, no se llegan a atribuir los ataques a ninguna entidad en concreto. No podemos dejar de destacar que todavía no se sabe del cierto quién está detrás de los ataques Lurid Downloader.

La atribución no es sencilla.

Si desea obtener más información sobre este ataque, consulte nuestro artículo técnico: La amenaza “LURID” Downloader.