Análisis de malware

BlackEnergy se utiliza como arma cibernética contra la infraestructura crítica de Ucrania

enero 12, por Admin

Introducción

Recientemente, los investigadores de la firma ESET detectaron una nueva ola de ataques basados en malware dirigidos a medios de comunicación y empresas de energía en Ucrania. Los actores de amenazas confían en el troyano BlackEnergy , que puede borrar los discos duros de las máquinas infectadas.

BlackEnergy es un troyano DDoS que ganó notoriedad en cuando los piratas informáticos de los Estados-nación lo utilizaron durante el conflicto entre Rusia y Georgia, cuando los piratas informáticos lanzaron ataques cibernéticos contra la infraestructura de Georgia.

Los expertos no tienen ninguna duda: el troyano BlackEnergy fue desarrollado por un hacker ruso y originalmente se utilizó para ataques DDoS , fraudes bancarios y distribución de spam . Posteriormente se utilizaron una serie de variantes mejoradas en ataques dirigidos a entidades gubernamentales y empresas privadas en una variedad de industrias.

Según el informe propuesto por los expertos de ESET en, el malware se dirigió a más de 100 organizaciones gubernamentales e industriales en Polonia y Ucrania , la empresa de seguridad F-Secure informó sobre otros ataques basados en BlackEnergy, que alcanzaron un objetivo en Bruselas.

El asesor de seguridad de F-Secure, Sean Sullivan, especuló que BlackEnergy detectado en Bruselas se ha utilizado en un ataque dirigido al Parlamento Europeo o a la Comisión Europea.

“Un gran número de organizaciones estatales y empresas de diversos sectores industriales en Ucrania y Polonia han sido objeto de ataques recientes. Lo que de otro modo sería un escenario mundano en el mundo actual del cibercrimen, se ve amenizado por el hecho de que las campañas de propagación de malware han aprovechó la tensa situación geopolítica actual en el este de Ucrania y el uso de una familia de malware con una rica historia. Las campañas más recientes están fechadas en agosto de.” afirma la publicación del blog en VirusBulletin.

Los investigadores de malware de ESET descubrieron una campaña de piratería informática dirigida a cientos de víctimas ubicadas principalmente en Europa del Este.

“Hemos observado más de 100 víctimas individuales de estas campañas durante nuestro seguimiento de las botnets”, dijo Lipovsky. ” Aproximadamente la mitad de estas víctimas se encuentran en Ucrania y la otra mitad en Polonia, e incluyen varias organizaciones estatales, diversas empresas y objetivos que no hemos podido identificar.”

Los expertos observaron que los condados infectados con el malware BlackEnergy ya fueron objetivo de otra campaña de ciberespionaje documentada por F-Secure, denominada CosmicDuke .

Investigaciones adicionales permitieron a los expertos recopilar evidencia del vínculo entre las campañas CosmicDuke, Miniduke y OnioDuke Advanced Persistent Threat.

¿Quién está detrás de las campañas de ciberespionaje?

Los expertos especularon que CosmicDuke, MiniDuke y OnionDuke son productos de piratas informáticos patrocinados por el estado ruso porque las campañas estaban dirigidas a gobiernos interesados en los asuntos rusos. El hecho de que las operaciones de CosmicDuke estuvieran dirigidas a usuarios de sustancias ilegales también puede indicar la participación de organismos encargados de hacer cumplir la ley del gobierno ruso.

El apagón en Ucrania

Seguridad cree que el malware representa una seria amenaza para los sistemas ICS y SCADA en la infraestructura crítica a nivel mundial.

En el pasado, otros programas maliciosos se han dirigido a estos componentes críticos; el más popular es Stuxnet , considerado la primera arma cibernética de la historia. Stuxnet se ha utilizado en un esfuerzo conjunto de los gobiernos de EE.UU. e Israel para destruir el programa nuclear iraní en la planta nuclear de Natanz .

Posteriormente se diseñó otro malware dirigido a sistemas administrados por la empresa en la industria energética; Havex , Shamoon y BlackEnergy son algunos ejemplos de este malware.

Malware Descripción FechaStuxnet El malware que afectó a la planta nuclear iraní en interfiriendo en el programa nuclear del Gobierno de TeheránHavex Havex se ha utilizado en varios ataques dirigidos contra diferentes sectores industriales. Havex es un troyano de acceso remoto (RAT) de propósito general. Los expertos de F-Secure notaron recientemente que los atacantes utilizaron Havex para atacar los sistemas de control industrial (ICS). Los delincuentes han personalizado el agente malicioso que infecta el software disponible para descargar desde los sitios web de los fabricantes de ICS/SCADA en un intento de infectar las computadoras donde se encuentra el software. está instalado en.Shamoon Shamoon tiene la capacidad de sobrescribir el MBR de la máquina, inutilizando la máquina. Antes de que Shamoon inutilice la PC, recopila datos de la víctima robando datos de ‘Usuarios’, ‘Documentos y configuraciones’ y ‘System32/Drivers’ y ‘System32/Config’.

Recientemente, el medio ucraniano TSN informó sobre un apagón prolongado que afectó a la región de Ivano-Frankivsk en Ucrania el 23 de diciembre, los medios especularon que el corte de energía fue causado por un malware que desconectó las subestaciones eléctricas.

Los piratas informáticos utilizaron una variante altamente destructiva del malware BlackEnergy para comprometer los sistemas de tres autoridades regionales de energía en Ucrania que desconectaron subestaciones eléctricas en el país. Parece que un ciberataque interrumpió el suministro de energía local Prykarpattyaoblenergo y provocó un importante corte de energía que dejó a la mitad de la población de la región sin electricidad.

El Ministerio de Energía de Ucrania confirmó los apagones y reveló que el Gobierno está investigando las causas.

Un comunicado en el sitio web del Servicio de Seguridad de Ucrania (SBU) informó sobre el descubrimiento de malware en las redes de las compañías eléctricas regionales. Según el SBU, el ciberataque estuvo acompañado de una avalancha de llamadas telefónicas a su soporte técnico, circunstancia que sugiere una acción de distracción aprovechando el ataque de denegación de servicio (DoS) resultante.

“El Servicio de Seguridad de Ucrania advirtió que los servicios especiales rusos intentaron atacar la red informática del complejo energético de Ucrania. Los empleados del Servicio de Seguridad de Ucrania encontraron software malicioso en las redes de algunas compañías eléctricas regionales. El ataque de virus estuvo acompañado de llamadas continuas ( “inundación telefónica”) a los números suministro de soporte técnico. Malware localizado. Continuación de acciones urgentes de investigación operativa.” afirma el SBU.

La atribución del ataque no es sencilla, sólo sabemos que el malware BlackEnergy tiene un origen ruso y que Rusia tiene una disputa política con Ucrania que repercutió también en el ciberespacio.

El componente KillDisk

Los expertos de ESET descubrieron un nuevo componente en el troyano BlackEnergy, el KillDisk, que es capaz de destruir unos 4.000 tipos de archivos diferentes y hacer que las máquinas no puedan arrancar.

El componente KillDisk caracterizó las instancias del malware utilizado para comprometer a las empresas energéticas en Ucrania y, según los expertos, se diferencia ligeramente de otras versiones. A continuación la lista de novedades observadas por los expertos:

Ahora acepta un argumento de línea de comando para establecer un retraso de tiempo específico cuando se debe activar la carga útil destructiva.

También elimina los registros de eventos de Windows: aplicación, seguridad, configuración, sistema.

Está menos centrado en eliminar documentos. Sólo se dirigen a 35 extensiones de archivo.

1: ejemplo de configuración de BlackEnergy utilizado en (ESET)

La cepa de malware detectada por ESET en también utiliza una puerta trasera SSH previamente desconocida para acceder a los sistemas infectados, además de la puerta trasera BlackEnergy.

“ESET ha descubierto recientemente que el troyano BlackEnergy fue utilizado recientemente como puerta trasera para entregar un componente destructivo KillDisk en ataques contra compañías de medios de comunicación ucranianas y contra la industria de energía eléctrica”. afirma la publicación del blog publicada por ESET.

Los investigadores de ESET destacaron la presencia de números Build IS en el código BlackEnergy, estos datos podrían proporcionar información útil para la atribución del código malicioso. En el caso específico, los números de identidad de la compilación sugieren la posible participación de piratas informáticos rusos, pero ESET evita confirmarlo.

“Aparte de una lista de servidores CC, la configuración de BlackEnergy contiene un valor llamado build_id. Este valor es una cadena de texto única utilizada para identificar infecciones individuales o intentos de infección por parte de los operadores de malware BlackEnergy. Las combinaciones de letras y números utilizadas a veces pueden revelar información sobre la campaña y los objetivos.” afirma la publicación ” Podemos especular que algunos de ellos tienen un significado especial. Por ejemplo,telsmi podría contener el acrónimo ruso SMI – Sredstva Massovoj Informacii,en podría significar Energía, y también está el obvio “Kiev”.”

Según Symantec, una de las características más interesantes observadas en la variante destructiva BlackEnergy utilizada en los ataques es que el malware intenta detener y eliminar un servicio llamado “sec_service”. Este servicio pertenece al software ‘Serial to Ethernet Connector’ desarrollado por Eltima y permite el acceso a puertos serie remotos a través de conexiones de red. La circunstancia sugiere que los piratas informáticos diseñaron específicamente el malware para atacar SCADA y tener un conocimiento profundo de los sistemas SCADA heredados. Muchas arquitecturas SCADA todavía usan puertos serie para comunicaciones RTU (Unidad terminal remota o Unidad de telemetría remota), los operadores los usan para comunicarse de forma remota con los sistemas de control y monitorear fallas del dispositivo.

Al interferir con sec_service, el atacante puede bloquear las comunicaciones remotas, lo que aumenta el potencial de daño al sistema objetivo.

¿Es posible provocar un corte de energía prolongado con un malware?

Sobre este punto hay opiniones diferentes, algunos expertos sostienen que infectar componentes críticos de un proceso puede provocar la paralización de actividades, incluidas las de una central eléctrica. En teoría, el malware puede bloquear procesos críticos para la infraestructura crítica.

El popular experto en seguridad Brian Honan explicó que no hay pruebas públicamente reconocidas de que las infecciones observadas en Ucrania estén relacionadas con el corte de energía.

“Todavía estoy tratando de reconstruir esto”, dice Brian Honan, consultor de seguridad de la información con sede en Dublín, asesor de ciberseguridad de la asociación de agencias policiales europeas conocida como Europol . “Tenemos informes de un corte de energía y de sistemas infectados con un virus informático, pero no hay conexión – al menos públicamente reconocida – de que ambos estén relacionados. En otras palabras, ¿cómo podría un virus tipo limpiador detener la estación? de producir energía?”

Michael Assante, ex CSO de NERC, especula que los atacantes han utilizado mucho más que malware para provocar el apagón.

” Una función de limpieza de archivos ciertamente puede alterar el sistema SCADA, pero eso por sí solo no explica la interrupción”, afirma. “Sospechamos que un atacante interactuó manualmente con una máquina infectada, como una HMI (interfaz hombre-máquina) para ordenar a los disyuntores que se abrieran”, aunque agrega que esto sigue siendo sólo una teoría. “La función de limpiaparabrisas podría haberse utilizado para extender la interrupción al bloquear el sistema SCADA, pero la empresa de servicios públicos ucraniana afectada aún era capaz de recurrir a operaciones manuales para volver a cerrar los disyuntores y energizar su sistema”. Assante dijo en un boletín del Instituto SANS del 5 de enero.

También destacó que el ataque de denegación de servicio a la red de telefonía celular observado en concomitancia con los cortes de energía puede ser parte de una estrategia implementada por los atacantes que tenía como objetivo evitar que los operadores de energía controlen remotamente los sistemas afectados.

“Ucrania ha tenido problemas de confiabilidad de la red eléctrica en el pasado, lo que probablemente significa que dependían del acceso remoto”, dijo el experto en ciberseguridad de sistemas de control industrial Joe Weiss, “señalando que ese acceso remoto puede proporcionarse no sólo a través de Internet, sino también a través de redes celulares.”

El gusano de arena APT

Según un informe publicado por iSIGHT Partners, el ciberataque contra una central eléctrica en Ucrania ha sido gestionado por un grupo ruso llamado Sandworm.

Los investigadores de iSIGHT vincularon el KillDisk con el BlackEnergy 3 utilizado por Sandworm en el pasado.

“La semana pasada, las fuentes de iSIGHT nos proporcionaron el mismo malware KillDisk publicado por Rob Lee de SANS y Dragos Security . Al igual que ESET, ubicamos este malware dentro del contexto más amplio de actividad vinculado a BlackEnergy 3, que creemos que es Sandworm Team. Creemos Este malware KillDisk está relacionado con el malware destructivo aprovechado durante las elecciones ucranianas de octubre. En ese momento, CERT-UA relacionó ese incidente con BlackEnergy 3. Desde entonces, Symantec ha verificado esas afirmaciones . Además, las propias fuentes de iSIGHT indican que el malware BlackEnergy 3 se implementó en al menos uno de los sistemas de energía ucranianos afectados por KillDisk.” escribió John Hultquist, director de análisis de ciberespionaje de iSight Partners.

Los actores de amenazas lanzaron una campaña de phishing en las autoridades energéticas ucranianas para difundir la variante destructiva de BlackEnergy aprovechando los documentos de Microsoft Office.

A principios de marzo de, los expertos detectaron un ciberataque con el malware BlackEnergy2 / 3 contra empresas de radiodifusión de Ucrania. Los correos electrónicos de phishing incluían documentos maliciosos (.xls y .pps) que contenían macros y archivos JAR, respectivamente, que a su vez lanzaban un archivo PE.

Los atacantes utilizaron sujetos y documentos que hacían referencia a la crisis en la zona y a una movilización de los acontecimientos revolucionarios. A continuación se muestra un ejemplo de uno de estos mensajes.

2: correo electrónico de phishing

Según un informe anterior publicado por iSIGHT sobre Sandworm , la APT ha estado activa desde al menos. En, el grupo ruso apuntó a una empresa energética polaca, a una agencia gubernamental de Europa occidental y también a una empresa de telecomunicaciones francesa.

Los expertos comenzaron la investigación a finales de, cuando la alianza de la OTAN fue atacada por el grupo SandWorm con varios kits de exploits. Los expertos detectaron a SandWorm APT utilizando un exploit crítico de día cero en agosto de 2104, cuando los piratas informáticos atacaron al gobierno ucraniano, en el período previo a la cumbre de la OTAN en Gales.

“A finales de agosto, mientras rastreaba al equipo Sandworm, iSIGHT descubrió una campaña de phishing dirigida al gobierno ucraniano y al menos a una organización estadounidense. En particular, estos ataques de phishing coincidieron con la cumbre de la OTAN sobre Ucrania celebrada en Gales”. afirma el informe publicado por iSIGHT .

Los expertos en seguridad especularon que la intensificación de la disputa cibernética entre Rusia y Ucrania podría haber aumentado la probabilidad de descubrir operaciones que pasaron desapercibidas durante tanto tiempo.

3: Informe SPT de Sandworm (iSight)

A continuación se detallan los detalles cronológicos proporcionados por los investigadores sobre la actividad de Sandworm:

La alianza de la OTAN fue atacada ya en diciembre de con hazañas distintas a las del día cero.
Los asistentes a GlobSec fueron atacados en mayo de con exploits distintos al de día cero.
junio
Objetivos amplios contra un gobierno específico de Europa occidental
Ataque a una empresa energética polaca utilizando CVE–3906
Ataque a una empresa de telecomunicaciones francesa utilizando una variante de BlackEnergy configurada con una referencia codificada en Base64 a la empresa

El equipo de hackers SandWorm envió correos electrónicos de phishing con archivos adjuntos maliciosos para comprometer la máquina de la víctima, los actores de la amenaza mencionaron un foro de seguridad global sobre Rusia y una supuesta lista de terroristas rusos.

Otro elemento que sugiere que Rusia es responsable de la campaña de ciberespionaje son los códigos descubiertos en el servidor CC, ubicado en Alemania, que no había sido protegido adecuadamente y que contiene archivos informáticos en ruso que habían sido cargados por los piratas informáticos.

“Podrían haberlo cerrado y no lo hicieron”, dijo sobre el servidor. “Fue una mala seguridad operativa”.

El CERT de Ucrania ya informó de numerosos ataques contra medios ucranianos utilizando el malware BlackEnergy; la ofensiva se intensificó en concomitancia con las elecciones locales.

“Recientemente, varios medios de comunicación ucranianos fueron atacados durante las elecciones locales por piratas informáticos desconocidos”. afirma UA-CERT “En general, me gustaría señalar que la amenaza tiene el carácter de una orden bien planificada para mostrar la capacidad de funcionamiento anormal de las redes de medios corporativos comprometidas mediante el uso de una herramienta como Black Energy (Win32 / Rootkit .BlackEnergy, Backdoor.Win64.Blakken), que está acostumbrado a realizar ataques APT.”

Conclusión

Los expertos en seguridad y guerra de la información consideran que la interrupción es un hito en la historia de los ciberataques. Es la primera vez que un corte de energía es provocado por piratas informáticos que utilizan un malware.

Los expertos de inteligencia de muchos países ya están trabajando con operadores de infraestructuras críticas para evitar que técnicas similares puedan en el futuro afectar a otros operadores energéticos de todo el mundo.

“Lo que ahora es cierto es que un ciberataque coordinado que consta de múltiples elementos es uno de los peligros esperados que las empresas eléctricas pueden enfrentar”, dijo el director de SANS ICS, Michael Assante.

“Necesitamos aprender y prepararnos para detectar, responder y restaurar eventos de este tipo en el futuro”.

Referencias

http://securityaffairs.co/wordpress/43281/malware/blackenergy-targets-ukraine.html

http://securityaffairs.co/wordpress/43321/hacking/ukraine-attack-caused-power-outage.html

http://securityaffairs.co/wordpress/28582/cyber-crime/blackenergy-lite-targeting-eu.html

http://securityaffairs.co/wordpress/3/cyber-warfare-2/miniduke-cosmicduke-onionduke.html

http://www.welivesecurity.com//01/03/blackenergy-sshbeardoor-details–attacks-ukrainian-news-media-electric-industry/

http://securityaffairs.co/wordpress/43413/malware/sandworm-apt-ukrainian-power-outage.html

https://cys-centrum.com/ru/news/black_energy_2_3

http://www.symantec.com/connect/blogs/destructivo-disakil-malware-linked-ukraine-power-outages-also-used-against-media-organizations

http://www.dpstele.com/scada/introduction-fundamentals-implementation1.2_c.php ?

http://www.sbu.gov.ua/sbu/control/uk/publish/article?art_id=170951cat_id=39574