NotPetya vinculado al ataque de Industroyer en la red de energía de Ucrania
El brote masivo de ransomware NotPetya que paralizó a las organizaciones de todo el mundo el año pasado resultó tener vínculos con la puerta trasera de Industroyer, que se dirige a los sistemas de control industrial (ICS) y derribó la red eléctrica ucraniana en Kiev en 2016
De hecho, el mismo actor de amenazas, llamado TeleBots (también conocido como Sandworm) por los investigadores de ESET, parece estar detrás de NotPetya, el ataque BlackEnergy 2015 que también causó apagones en Ucrania, y la campaña de Industroyer un año después.
NotPetya (también conocido como ExPetr) estalló en junio pasado, y se creía inicialmente que era otro ataque de ransomware global a la par con WannaCry, pero resultó ser un limpiador disfrazado. Si bien el malware tiene un componente de ransomware, NotPetya no puede descifrar el disco de las víctimas, incluso si se realiza un pago.
Se cobró miles de víctimas en todo el mundo, incluidos algunos de los fabricantes de más alto perfil, proveedores de infraestructura crítica y organizaciones de servicios financieros, atando a gigantes como la compañía farmacéutica Merck y Maersk, el gigante de los envíos.
Según los analistas de ESET, Anton Cherepanov y Robert Lipovsky, el malware BlackEnergy responsable del apagón de Ucrania 2015 contiene el mismo componente de encriptación KillDisk visto en el malware NotPetya, que es un sello distintivo del grupo TeleBots.
"En la etapa final de sus ataques, el grupo TeleBots siempre usó el malware KillDisk para sobrescribir archivos con extensiones de archivo específicas en los discos de las víctimas", escribieron el año pasado. También descubrieron que el brote comenzó a extenderse desde compañías afectadas por una puerta trasera de TeleBots, como resultado del compromiso del software financiero MEDoc, popular en Ucrania.
Mientras tanto, Industroyer (también conocido como Crash Override) es el código utilizado en los ataques contra la red eléctrica ucraniana en diciembre de 2016. Ese ataque y la ofensiva BlackEnergy 2015 apuntaron a las mismas redes ucranianas (y en conjunto, los incidentes de 2015 y 2016 se consideran los únicos exitosos hacks de una red de energía hasta la fecha); sin embargo, no se ha visto evidencia sólida que vincule a los dos con el mismo APT hasta que los investigadores de ESET descubrieron este año similitudes de código fuertes, vinculándolos a TeleBots a través del análisis de una puerta trasera reciente.
De hecho, el último malware de TeleBots, denominado Win32 / Exaramel, muestra que es una versión mejorada del backdoor de Industroyer. Fue detectado en una organización en Ucrania (aunque no en una instalación industrial), extrayendo información. Copia archivos, los comprime y encripta automáticamente y los envía al servidor de comando y control (C2); y se está utilizando con algunas de las herramientas más antiguas de TeleBots, incluido un ladrón de contraseñas personalizado y un Mimikatz ligeramente modificado.
Una mirada más cercana bajo el capó reveló que hay varios aspectos en el código que muestran que está estrechamente relacionado con Industroyer.
Por un lado, la puerta trasera de Win32 / Exaramel se implementó inicialmente por un dropper, encontraron, que inicia un servicio de Windows llamado "wsmprovav", con la descripción "Windows Check AV".
"Como se puede ver en la primera línea de la configuración, los atacantes están agrupando sus objetivos según las soluciones de seguridad en uso", dijeron los investigadores de ESET en una publicación la semana pasada. "Se puede encontrar un comportamiento similar en el conjunto de herramientas de Industroyer; específicamente, algunas de las puertas traseras de Industroyer también se disfrazaron como un servicio relacionado con AV (implementado con el nombre avtask.exe) y se usó el mismo grupo".
Una vez que se ejecuta la puerta trasera, se conecta a su servidor C2 y recibe varios comandos para ejecutar. El código del bucle de comandos y las implementaciones de los primeros seis comandos (proceso de inicio, proceso de inicio en un usuario de Windows específico, escritura de datos en un archivo en ruta específica, copia de archivo en el subdirectorio de almacenamiento (archivo de carga), ejecuta el comando de shell y ejecuta comando de shell como usuario de Windows especificado) son muy similares a los que se encuentran en una puerta trasera utilizada en el conjunto de herramientas de Industroyer, según ESET.
Ambas familias de malware también usan un archivo de informe para almacenar la salida resultante de los comandos de shell ejecutados y los procesos iniciados.
"En el caso de la puerta trasera Win32 / Industroyer, el archivo de informe se almacena en una carpeta temporal con un nombre de archivo aleatorio", explicó el equipo. "En el caso de la puerta trasera Win32 / Exaramel, el archivo de informe se denomina report.txt y su ruta de almacenamiento se define en el archivo de configuración de la puerta trasera".
Todavía hay otras similitudes. Por ejemplo, para redirigir la salida estándar (stdout) y el error estándar (stderr) al archivo de informe, ambas puertas traseras establecen los parámetros hStdOutput y hStdError en un identificador del archivo de informe.
Mientras tanto, la principal diferencia entre la puerta trasera del conjunto de herramientas Industroyer y la nueva puerta trasera TeleBots es que esta última utiliza el formato XML para la comunicación y la configuración en lugar de un formato binario personalizado.
"El descubrimiento de Exaramel muestra que el grupo TeleBots aún está activo en 2018 y los atacantes siguen mejorando sus herramientas y tácticas", dijeron los investigadores de ESET. “La fuerte similitud de código entre la puerta trasera Win32 / Exaramel y la puerta trasera principal de Industroyer es la primera evidencia presentada públicamente que vincula a Industroyer con TeleBots y, por lo tanto, con NotPetya y BlackEnergy. Si bien la posibilidad de falsas banderas, o un código de coincidencia compartido por otro actor de amenazas, siempre debe tenerse en cuenta al intentar la atribución, en este caso consideramos que es poco probable ".
Si bien ESET se negó a intentar la atribución de estado-nación para TeleBots APT, Phil Neray, vicepresidente de ciberseguridad industrial en CyberX, dijo que cree que la inteligencia rusa está detrás de este 'hat-trick' de incidentes destructivos.
"Ahora está surgiendo un patrón claro de una iniciativa a largo plazo por parte de la GRU rusa para interrumpir descaradamente la infraestructura crítica en Ucrania y Occidente", nos dijo por correo electrónico. "El informe de ESET es significativo porque vincula a un solo grupo de actores de amenazas de GRU a varios ataques cibernéticos importantes, incluido el primer ataque a la red de Ucrania en 2015 (BlackEnergy), el segundo ataque a la red en 2016 (Industroyer) y NotPetya que inhabilitó las instalaciones de producción en todo el mundo. en 2017 y ha sido llamado el ataque cibernético más devastador de la historia ".