Análisis de malware

Gauss: entre tecnología y política

7 de mayo de por Dimitar Kostadinov

Introducción

El propósito de este trabajo es presentar a los lectores la investigación sobre la plataforma de malware Gauss como una de las mejores herramientas de explotación cibernética de los estados-nación. Como toda creación humana sensata, Gauss tiene ciertas características y propósito. Por ello, la investigación se divide en dos grandes partes:

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

La primera parte, Gauss: datos técnicos, brinda más información sobre algunas características interesantes inmanentes a Gauss, así como lo que lo conecta o lo distingue de otro malware similar.

La segunda parte, Historia política relevante para la explotación cibernética de Gauss, traslada al lector al mundo de la política de Oriente Medio, corriendo el telón para revelar las posibles razones detrás del ataque de explotación cibernética contra las empresas bancarias en el Líbano.

Finalmente, la conclusión integral sirve como una asimilación reflexiva de los hechos expuestos en ambas partes.

I. Gauss – datos técnicos

El malware Gauss consta de varios módulos, pero lo realmente curioso es que algunos de ellos llevan nombres de matemáticos: Gauss , Gödel , Lagrange , Taylor . Dado que el módulo Gauss funciona como una herramienta de recolección de información valiosa, toda la plataforma recibe ese nombre (Kaspersky,).

Nave nodriza (wmiqry32.dll, wmiqry32.dll)

La nave nodriza, como a menudo se hace referencia al módulo principal, está ahí para establecer comunicación con el servidor CC y cargar módulos adicionales (McAfee,). Su tamaño es de poco más deKb.

Curiosamente, la infraestructura Gauss C2 utilizó una técnica familiar para la comunidad de TI como equilibrio de DNS, también conocido como DNS Round-Robin. Esta técnica se utiliza generalmente para igualar la carga causada por el tráfico masivo a un sitio web, lo que a su vez demuestra que Gauss era capaz de manejar una gran cantidad de datos (RT,).

El módulo Gauss (WINSHELL.OCX)

El «Gauss» (WINSHELL.OCX) es el módulo más importante del malware porque es responsable del robo de datos. Como parte de su tarea, el módulo incorpora extensiones del navegador y recopila datos de navegación de la computadora de destino. Mientras se carga, busca inyectarse en Explorer.exe y crear archivos de registro para almacenar contraseñas, cookies y otros datos (McAfee,).

El módulo Gödel (DSKAPI.OCX)

Quizás el módulo más interesante de Gauss sea «Gödel». Las funciones principales del módulo Gödel son lanzar archivos maliciosos utilizando el exploit .LNK, infectar unidades extraíbles y erradicar cualquier proceso relacionado con la seguridad existente en el sistema (McAfee,).

Roel Schouwenber, investigador de Kaspersky, opina que el «Gödel» puede contener una «ojiva» similar a Stuxnet capaz de infligir daños a los sistemas de control involucrados en la operación, mantenimiento o control de infraestructura nacional crítica.

Capacidades de infección USB

Como se destacó anteriormente, Gödel puede infectar unidades extraíbles, sin embargo, de una manera «más inteligente», colocando la información recopilada en un archivo oculto en unidades USB (Fitzpatrick,). El componente de robo de datos explota la vulnerabilidad .LNK (CVE–2568) idéntica que Stuxnet y Flame aprovecharon anteriormente .

Además, los archivos de infección tienen una característica TTL (tiempo de vida) de bandera «30», lo que significa que cada vez que se ejecuta la carga útil, el número de bandera disminuye. Cuando el recuento de TTL llega a 0, » la carga útil de robo de datos se limpia sola de la memoria USB «, prácticamente «desinfectando» la unidad («GReAT», Kaspersky Lab Expert,).

Además, el ataque USB puede ser difícil de detectar y por otra razón. Según Symantec, algunas secciones del binario de carga útil que penetra en los dispositivos USB están muy bien cifradas.

Cifrado y carga útil misteriosa

Hablando de eso, algunas partes del cifrado de «Gödel» son extremadamente sofisticadas. A diferencia de Stuxnet, Duqu y Flame, la clave de descifrado no está disponible en el malware ya que se ha utilizado un cifrado RC4 sólido.
Además, el proceso de descifrado se lleva a cabo en el sistema infectado mediante el cálculo dinámico de una clave de descifrado.

El módulo permanece inactivo hasta el momento en que se descifra con éxito (Bencsáth, Pék , Buttyán y

Félegyházi,).

Gauss posee una carga útil de 64 bits, facilitada por complementos de navegador compatibles con Firefox creados para monitorear y robar credenciales de algunos bancos libaneses: Blom Bank, Byblos Bank, Bank of Beirut, Fransa Bank, Credit Libanais y EBLF («GReAT» Experto de Kaspersky Lab,). Curiosamente, se omiten varios de los principales bancos.

Además, busca cookies que tengan las siguientes cadenas: paypal, visa, mastercard, eurocard, citibank, americanexpress, amazon, ebay, maktoob, facebook, yahoo, hotmail, gmail) (RT,).

Aparentemente, la carga útil se ejecuta en máquinas específicas que coinciden con cierto patrón de configuración, desbloqueando así el cifrado. Esta funcionalidad, junto con todas las características mencionadas anteriormente, revela el enfoque altamente dirigido que utiliza el malware (RT,).

El misterio de la fuente personalizada «Palida Narrow»

El módulo Lagrange (WINDIG.OCX) tiene como objetivo la instalación de fuentes en el sistema de destino (McAfee,). Hasta la fecha se desconoce el propósito exacto de la fuente Palida. Sin embargo, hay algunas buenas sugerencias:

  1. Aunque es muy poco probable, Gauss podría utilizar la fuente para material impreso.
  2. La fuente podría alterar los caracteres de las páginas web con el objetivo de ocultar alertas.
  3. Podría tener como finalidad comprobar la finalización de la instalación (RT,)
  4. Podría insertarse para establecer una puerta trasera, explotando la vulnerabilidad del sistema. En el pasado, se han utilizado fuentes para tales fines, por ejemplo, la fuente DDL True Type explotada por Duqu.
  5. Por último, la fuente Palida podría utilizarse para una detección remota, marcando los ordenadores infectados.

De hecho, dada la naturaleza sensible y altamente selectiva del ataque, la última versión parece la más plausible (Syversen,).

Al final ¿qué es Gauss?

Los analistas consideran que Gauss es un malware altamente dirigido por varias razones. En primer lugar, se basa en la plataforma Flame, otro virus dirigido. En realidad, el primero fue descubierto durante la investigación en curso del segundo. En términos generales, Flame es una compleja plataforma de malware de estado-nación que se utiliza principalmente para la explotación cibernética. En segundo lugar, Gauss no se autorreplica libremente, afectando indiscriminadamente a los sistemas informáticos. En tercer lugar, el Líbano es la principal víctima, con más de 1.660 ordenadores infectados. Sólo como referencia, le siguen Israel y Palestina con 483 y 261 respectivamente. Cuarto, a diferencia de otros virus, Gauss no ataca a cientos de instituciones financieras. De hecho, sólo se dirige a los bancos (Kaspersky,).

Teniendo en cuenta todos estos hechos, se puede llegar lógicamente a la siguiente conclusión sobre Gauss: Gauss es un malware de estado-nación altamente dirigido y afinado, que guarda cierto parecido con Flame, y que tiene como objetivo la explotación cibernética de las instituciones bancarias. en Medio Oriente, principalmente bancos libaneses.

II. Historia política relevante para la ciberexplotación de Gauss

Esta parte se subdivide en períodos de tiempo que podrían ser importantes para los motivos detrás de la liberación de Gauss. En este sentido, a continuación se establece un gráfico de línea de tiempo plano que muestra algunos de los eventos destacados; Inmediatamente después se profundiza más en el tema.

1. Banco canadiense libanés incluido en la lista negra del gobierno de EE. UU.

El 17 de febrero de, el Departamento del Tesoro de EE. UU. determina que el Banco Libanés Canadiense SAL (LCB) es una institución financiera de principal preocupación en materia de lavado de dinero según la Sección 311 de la Ley USA PATRIOT .

En primer lugar, a LCB se le vincula una trama de tráfico de estupefacientes y blanqueo de dinero. Según el Tesoro, la LCB » ha sido utilizada ampliamente por personas asociadas con una red internacional de tráfico de drogas y lavado de dinero para mover cientos de millones de dólares mensuales en efectivo provenientes de la venta de drogas ilícitas al sistema financiero formal (, párrafo 4) . » Como la parte del esquema incluía el lavado de dinero con autos usados ​​comprados en los Estados Unidos, las » medidas que se impondrán a la institución bajo la Sección 311, son un primer paso necesario para evitar que LCB facilite el lavado de dinero u otros delitos financieros a través de el sistema financiero estadounidense ( Oficina del Registro Federal ,, p.9406) . «

En segundo lugar, se descubre que LCB tiene conexión con Hezbollah. El gobierno de Estados Unidos posee información que acusa a los directivos de la LCB de proporcionar servicios bancarios a miembros de Hezbolá. Dado que Hezbollah es considerado una organización terrorista extranjera y un terrorista global especialmente designado, la LCB debe incluirse en la lista negra. Por otro lado, Europa no pertenece a estas designaciones y » muchos estados miembros mantienen algún tipo de relación con el movimiento (The European Council on Foreign Relations,, par.22)».

Cabe señalar que toda la historia recibió una cobertura mediática completa en diciembre de.

2. Sanciones a Siria y bancos libaneses

En marzo de, Siria se ve inmersa en una guerra civil entre la familia gobernante Assad y las fuerzas de oposición que luchan contra el régimen actual. No mucho después de las primeras atrocidades, el Consejo de Seguridad de la ONU, así como varias otras instituciones internacionales prominentes como la UE y muchos gobiernos occidentales, impusieron numerosas sanciones al gobierno sirio. De manera similar a la guerra civil libia, algunas de las medidas apuntan a congelar activos y cortar acuerdos internacionales de cualquier tipo con el gobierno de Assad. Como el Líbano y Siria son países vecinos, los bancos libaneses son una puerta importante que conduce al mundo financiero exterior. Al principio, el Líbano fue criticado por la lenta implementación de las sanciones contra Siria y también contra Irán. Sin embargo, bajo el incentivo de mantener intactas sus relaciones internacionales,han estado implementando silenciosamente sanciones multilaterales (Epstein y Saeed,, párr. 15)».

3. En agosto-septiembre de, como afirma Kaspersky, se libera el virus Gauss .

4. Ele marzo de, David Cohen, subsecretario del Tesoro de Estados Unidos, visita Beirut para garantizar que el Líbano respete las medidas punitivas impuestas a Siria e Irán. Probablemente la atención se centrará en el sector bancario.

5. El Wall Street Journal informó que la administración estadounidense continúa escudriñando el sistema financiero del Líbano por sospechas que son aprovechadas por Hezbollah, Siria e Irán para financiar sus actividades (Rubenfeld,).

6. Las acusaciones contra el sistema bancario libanés están privadas de credibilidad

En un artículo del Daily Star, el Secretario General de la Asociación de Bancos Libaneses, Makram Sader afirma que las acusaciones continuamente propagadas por algunos prestigiosos periódicos estadounidenses, que implican a más bancos libaneses en el blanqueo de dinero en apoyo de terroristas » no están corroboradas por sus autores » y Esta campaña desacreditaría la reputación del sector bancario libanés.

Además, considera que los bancos en cuestión cumplen las resoluciones del Consejo de Seguridad de la ONU y se niegan a prestar servicios a los bancos sirios o iraníes. En conclusión, Sader señala: » Si las autoridades estadounidenses tuvieran algún tipo de evidencia contra algún banco libanés no habrían dudado en colocar el nombre de este banco en la lista negra (Habib,, par.17)».

7. En julio de: Kaspersky Lab descubre Gauss.

8. Incautación de dinero de un banco libanés corrupto

Aproximadamente un mes después, las autoridades estadounidenses confiscaron 150 millones de dólares mantenidos en una cuenta de depósito en garantía en el Banque Libano Francaise SAL. La suma es parte del precio de compra del banco canadiense libanés ya vendido relacionado con el lavado de dinero de Hezbollah.

«¿Por qué los bancos libaneses?» Conclusión

El sector bancario en el Líbano es fuerte y sensible. Las violaciones de seguridad siempre provocan una popularidad negativa que puede reflejarse en la estabilidad general de los bancos libaneses. Esto, a su vez, puede contribuir aún más a la agitación política que se vive en la región. El estricto cumplimiento de la » Ley de Secreto Bancario «, que reduce al mínimo la corrupción, junto con la falta de concienciación sobre la seguridad informática, plantean los medios cibernéticos como una alternativa adecuada para adquirir cantidades sustanciales de inteligencia clandestina (Moophz,).

Esta revisión exhaustiva de los acontecimientos importantes ocurridos en el Medio Oriente que precedieron al surgimiento de Gauss hasta su descubrimiento se estableció en una línea de tiempo por una razón. Es evidente que la situación en esta región es muy complicada. Después de Libia y Egipto, Siria está desgarrada por luchas internas, lo que atrae la atención internacional sobre lo que podría describirse con seguridad como una crisis humanitaria. Esto dio lugar a sanciones estrictas que se han impuesto al gobierno y al sistema financiero sirios gobernantes. Se han cortado una amplia gama de transacciones internacionales en el sector bancario. Sin embargo, muchos expresaron su preocupación de que los bancos libaneses no muestren la diligencia debida en cuanto al cumplimiento de estas sanciones.

Por otro lado, el grupo Hezbolá sigue siendo una espina clavada para las autoridades israelíes y estadounidenses. Durante mucho tiempo, la organización con sede en Palestina, subvencionada también por Irán y Siria, es considerada un grupo terrorista, lo que significa que si cualquier otra organización o institución se encuentra relacionada de alguna manera, será tratada más o menos a la par de ellas o al mismo nivel. al menos como cómplice. El caso del Banco Libanés Canadiense simplemente confirma este hecho.

En el contexto de estas explicaciones, la pregunta retórica planteada por Jeffrey Carr, experto en guerra cibernética de la firma de seguridad Taia Global, tiene cierto sentido: » Tienes esta plataforma exitosa (el malware avanzado de estado-nación ). ¿Por qué no aplicarla a ¿Esta investigación sobre los bancos libaneses y si están o no involucrados en el lavado de dinero para Hezbollah (Reuters,)?

Además de todo, Irán ha ido avanzando gradualmente con su agenda nuclear, una condición previa para aumentar aún más la tensión con el rival local Israel y su aliado más confiable, Estados Unidos. El gusano Stuxnet logró retrasar por un tiempo la producción de armas nucleares. El malware Flame está relacionado con Stuxnet y se especula ampliamente que ambos kits de herramientas fueron ordenados por Estados Unidos e Israel para perjudicar el programa nuclear de Irán.

Por lo tanto, dado el hecho de que Stuxnet está relacionado con Flame, Flame está relacionado con Gauss, podemos estar de acuerdo con la conclusión lógica de Kaspersky Lab de que » Gauss proviene de la misma ‘fábrica’ o ‘fábricas’ (GReAT» Kaspersky Lab Expert,, par .29) . » Y si tenemos en cuenta el período en el que Gauss está activo y la situación política en Oriente Medio, tendríamos una buena percepción de por qué los bancos libaneses son el objetivo de Gauss, una sofisticada herramienta de ciberexplotación patrocinada por los Estados-nación.

Lista de referencia

Bencsáth, B., Pék, G., Buttyán, L., Félegyházi, M, (). Los primos de Stuxnet: Duqu, Flame y Gauss. Internet del futuro,4 , 971-1003.

doi:10.3390/fi4040971

Epstein, M. y Saeed, A. (). «Las sanciones ‘inteligentes’ pasan factura a Siria » . Recuperado el 18/03/ de http://www.ft.com/intl/cms/s/0/9faf8274-d0bf-11e1-8d1d-00144feabdc0.html#axzz2NucxWXkX

Consejo Europeo de Relaciones Exteriores (). «Líbano: contener el derrame de Siria «. Recuperado el 18/03/ de http://ecfr.eu/content/entry/lebanon_containing_spilver_from_syria

Fitzpatrick, A. (). «Conozca el virus ‘Gauss’, Stuxnet y el nuevo primo de Flame «. Recuperado el 18/03/ de http://mashable.com//08/09/gauss-virus/

«GReAT» Experto de Kaspersky Lab, (). «Gauss: la cibervigilancia de los estados nacionales se encuentra con el troyano bancario» . Recuperado el 18/03/ de

http://www.securelist.com/en/blog/93767/Gauss_Nation_state_cyber_surveillance_meets_banking_Trojan

Habib, O. (). «No hay pruebas de que los bancos libaneses estén vinculados a la financiación del terrorismo: Sader» . Recuperado el 18/03/ de http://www.dailystar.com.lb/Business/Lebanon//Jul-04/179295-no-proof-lebanese-banks-linked-to-terrorist-financing-sader. ashx#ixzz2Nd2TGU9T

Laboratorio Kaspersky, (). Gauss: distribución anormal . Recuperado el 18/03/ de http://www.securelist.com/en/downloads/vlpdfs/kaspersky-lab-gauss.pdf

Laboratorios McAfee, (). Aviso de amenazas de McAfee Labs PWS-Gauss . Recuperado el 18/03/ de https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/23000/PD23950/en_US/Threat_Advisory_PWS-Gauss.pdf

Moophz (). Gauss el malware: una herramienta de ciberespionaje electromagnético . Recuperado el 18/03/ de http://moophz.com/article/gauss-malware-electromagnetic-cyber-espionnage-tool

Oficina del Registro Federal (). Registro Federal, Volumen 76, Número 33. Recuperado el 18/03/ de http://digital.library.unt.edu/ark:/67531/metadc52m1/

Reuters, (). Un virus encontrado en Medio Oriente puede espiar transacciones bancarias. Recuperado el 18/03/ de http://ca.reuters.com/article/technologyNews/idCABRE8780NJ0809?pageNumber=1virtualBrandChannel=0

RT, (). «Stuxnet, Flame…Gauss: nuevo virus espía encontrado en Oriente Medio «. Recuperado el 18/03/ de http://rt.com/news/gauss-virus-stuxnet-flame-276/

Rubénfeld, S. (). «Estados Unidos investiga las operaciones bancarias libanesas «. Recuperado el 18/03/ de http://blogs.wsj.com/corruption-currents//04/30/us-probes-lebanese-banking-operatives/

Syversen, J. (). Herramienta de ciberespionaje – Gauss . Recuperado el 18/03/ de http://cyber-son.blogspot.com//02/cyber-espionage-tool-example-gauss.html

Departamento del Tesoro de EE. UU., () . El Tesoro identifica al banco canadiense libanés Sal como una «preocupación principal de lavado de dinero». Recuperado el 18/03/ de http://www.treasury.gov/press-center/press-releases/pages/tg1057.aspx