Octubre Rojo - Malware

Al igual que aquel submarino que torpedeaba todo a su paso sin ser descubierto, este malware de última generación ha causado estragos durante cinco años.

Sergio Méndez Galindo
Sergio Méndez Galindo
21 de January · 818 palabras.
x

🕘 Resumen

Octubre Rojo es una de las redes de espionaje electrónico más sofisticadas descubiertas hasta la fecha. Los operadores a cargo de la red tuvieron a su disposición más de 1000 módulos, lo que les permitió infiltrar malware moderno e indetectable.

Además, los módulos estaban aplicados minuciosamente a un tipo específico de víctima en cada caso, lo que hacía difícil detectar el ataque. Los detalles del ataque se encuentran contenidos en 140 páginas de análisis técnico.

Para disimular el malware, los cibercriminales se apoyaron en una librería de códigos de enlace dinámica que recibía el servidor atacado, se ejecutaba en memoria e inmediatamente se descartaba, lo que permitió que el malware permaneciera encubierto durante tanto tiempo.

El malware se distribuía a través de correos electrónicos que realizaban ataques spear-phishing. Los objetivos eran cuidadosamente seleccionados dentro de la organización por su nivel de vulnerabilidad.

Una vez infectado el ordenador, el malware se conectaba con el servidor de comando y control y subía la información del equipo afectado.

Kaspersky ha afirmado que nunca antes, en la historia de la seguridad de la tecnología, se había analizado una operación de forma tan minuciosa como en el caso de Octubre Rojo.

El Octubre Rojo ha infectado cientos de redes durante cinco años en organizaciones diplomáticas, gubernamentales, militares y científicas, a lo largo del ancho mundo. Se trata de una de las redes de espionaje electrónico más sofisticadas descubiertas hasta la fecha según los expertos en seguridad antivirus de kaspersky Labs.
Sus operadores han tenido a su disposición más de 1000 módulos, permitiéndoles infiltrar malware muy moderno e indetectable, aplicado minuciosamente a un tipo específico de víctima en cada caso. Muchos de los módulos ejecutaban tareas únicas, repetidas una sola vez, por ejemplo: Extracción de claves de email, desciframiento de claves de sistema cifradas con hash, descarga de archivos de FTP seguros, recopilación de históricos y datos de Chrome, Explorer, Firefox y Ópera.
Para conseguir que el malware haya permanecido encubierto durante tanto tiempo –merece la pena mencionar que el asunto se ha destapado gracias a una pista anónima- los ciberdelincuentes se han apoyado en una librearía de códigos de enlace dinámica que recibía el servidor atacado, era ejecutada en memoria e inmediatamente descartada.
Los detalles están contenidos en 140 páginas de análisis técnico. Se concluye que Octubre Rojo deja en mal lugar a otras célebres operaciones de espionaje conocidas hasta ahora, como la campaña “Aurora” que tuvo a Google en el foco o los ataques “Night Dragon” que vulneraron redes de compañías petrolíferas en 2011. Además, en este caso, Kaspersky ha afirmado “De acuerdo a nuestro conocimiento, nunca antes en la historia de la seguridad de la tecnología una operación se ha podido analizar de una forma tan minuciosa, y los detalles descubiertos impresionan bastante”.

MÉTODO DE INFECCIÓN

El malware se distribuye a través de emails que realizan un ataque spear-phishing con objetivos cuidadosamente seleccionados dentro de la organización por su nivel de vulnerabilidad. Hay archivos adjuntos que contienen al menos tres vulnerabilidades conocidas en la suite de Microsoft Office (excel, word) Una vez abiertos los archivos adjuntos, se descarga un troyano al equipo que escanea la red afectada para localizar más equipos con la misma vulnerabilidad.

El malware también descarga un gran número de módulos, generalmente librerías .dll que pueden completar diversas tareas por sí mismas. De esta forma, obedeciendo órdenes del centro de comandos que lo maneja, borra toda evidencia que pueda indicar su existencia. Aparte de los módulos que ejecutan una única tarea, algunos permiten ejecutar tareas persistentes, lo que implica diversas formas de espionaje:

- A la espera de un documento de Office o PDF, inyectando código en el documento.

- Creando canales de comunicación encubiertos de un sólo sentido.

- Grabando pulsaciones de teclas, tomando capturas de pantalla.

- Difundiendo mensajes de email o archivos adjuntos.

- Recolentando información de hardware o software en la máquina.

- Recolectando información del historial en los navegadores: Explorer, Firefox, Opera y Chrome, también consiguiendo sus passwords.

- Extrayendo información de hashes de cuentas de usuario en Windows.

- Vulnerando la información de cuentas de usuarios en Outlook.

- Realizando escaneos de red, se recopilan los archivos "dump" de configuración de dispotivos Cisco si es posible.

Algunas tareas .exe quedarán a la espera de que se produzca una situación propicia, por ejemplo la conexión de un móvil. Se ha demostrado que los smartphones de Microsoft Windows Phone, Apple y Nokia son vulnerables.

El malware Octubre Rojo también es capaz de recopilar archivos cifrados, que no se libran de estar comprometidos. Incluso se encargará de rastrear el disco duro y recuperar archivos ya borrados (el borrado tradicional de Windows no los elimina de la superficie del disco ni sobreescribe esos sectores) Hay algunas características clave que podría sugerir que recibe soporte y despliegue estatal -aunque aún no hay confirmación oficial- que son las siguientes:

Existe un "módulo de resurreción", que mantiene camuflado el malware, este es disfrazado tras un falso plug-in de un programa como Microsoft Office. Dicho módulo permite reencarnar el malware tras su eliminación.

Octubre Rojo no se centra sólo en máquinas normales, atendiendo también a dispositivos móviles, discos externos conectados a computadoras y redes FTP.

Roba información de bases de datos con direcciones de email.

Para controlar la difusión de Octubre Rojo Kaspersky ha estimado que existen más de 60 nombres de dominios a nivel global, en diferentes servidores de diferentes países. De esta forma se ha creado una extensísima red proxy que encubre la verdadera localización e identidad del centro de comando que lo ejecuta.

Octubre Rojo fué puesto bajo la lupa de Kaspersky en Octubre del pasado año debido a una pista recibida de forma anonima por el equipo. Podeís encontrar un reportaje completo (aunque, eso sí muy técnico) en “Red October”. Detailed Malware Description 1. First Stage of Attack.

Compara antivirus y software para acelerar el pc en nuestra web Mejor Antivirus

Comparte tu conocimiento y tus intereses con el mundo.

Publica un artículo →