Los investigadores de ESET descubren una plataforma de ciberespionaje no reportada anteriormente utilizada en ataques dirigidos contra misiones diplomáticas e instituciones gubernamentales, y usuarios preocupados por la privacidad
Los investigadores de ESET han descubierto una nueva plataforma de espionaje con una arquitectura compleja, una serie de medidas para dificultar la detección y el análisis y dos características notables. Primero, su complemento GSM usa el protocolo de comando AT, y segundo, usa Tor para sus comunicaciones de red. Los investigadores de ESET llamaron así a la plataforma de ciberespionaje Abo.
Objetivos
La operación de espionaje de Abogado es altamente selectiva: pudimos rastrear la operación de Abogado hasta al menos 2013, pero solo identificamos unas pocas docenas de víctimas. A pesar de eso, pudimos aprender más sobre las víctimas previstas mediante el análisis de artefactos en el malware.
Por ejemplo, para poder informar sobre las actividades de la víctima, Fiscal supervisa los procesos activos para tomar capturas de pantalla de las aplicaciones seleccionadas. Solo se dirigen ciertas aplicaciones, aquellas con subcadenas específicas en el nombre del proceso o el título de la ventana.
Además de los servicios estándar, como los navegadores web populares, las aplicaciones de mensajería instantánea y los servicios de correo electrónico, la lista de aplicaciones específicas contiene varios servicios rusos, como se detalla en la Tabla 1.
| Nombre del proceso / subcadena del título de la ventana | Contexto |
| ОДНОКЛАССНИКИ (traducido Compañeros de clase) | Red social rusa (Odnoklassniki) |
| AGENTEVKONTAKTE | Red social rusa (VKontakte) |
| WEBMONEY | Sistema de pago en línea utilizado en Rusia (WebMoney) |
| MAIL.YANDEX, ЯНДЕКС.ПОЧТА (traducido Yandex.Mail), CORREO.RU, POCHTA (traducido Mail), MAGENT | Servicios de correo electrónico ruso (Mail.ru, Yandex.Mail) |
| ПРИГЛАШЕНИЕ ДРУЖИТЬ (transl. Solicitud de amistad) | Texto en ruso |
| ВАМ СООБЩЕНИЕ (transl. Mensaje para usted) | Texto en ruso |
| MULTIFONO | Servicio ruso de VoIP |
| QIP, INFIUM | Aplicación de mensajería instantánea rusa (QIP) |
| EXCURSIONISTA | Motor de búsqueda ruso (Excursionista) |
La lista incluye las dos redes sociales más populares en Rusia (Odnoklassniki, VKontakte) y un servicio de VoIP proporcionado por un operador de telecomunicaciones ruso (Multifon). Nuestra conclusión es que Abogado se dirige específicamente a los hablantes de ruso, lo que se ve respaldado por el hecho de que la mayoría de los objetivos se encuentran en Rusia, como se ve en la Figura 1. Otros objetivos se encuentran en Europa del Este, e incluyen misiones diplomáticas y gubernamentales. instituciones.
Figura 1. Países afectados por Fiscal
Además de su orientación geográfica y por idioma, los creadores de Abo parecen estar específicamente interesados en los usuarios preocupados por su privacidad.
El abogado está configurado para capturar capturas de pantalla de las utilidades de cifrado / firma digital, el servicio VPN HMA, los servicios de correo electrónico de cifrado de extremo a extremo Hushmail y The Bat !, y la utilidad de cifrado de disco TrueCrypt.
El uso de TrueCrypt por parte de la víctima se inspecciona en otra parte de Fiscal. Supervisa los dispositivos de disco duro conectados a la computadora comprometida y busca la presencia de TrueCrypt. Si se detecta TrueCrypt, su versión se determina enviando IOCTL al controlador TrueCrypt (0x222004 (TC_IOCTL_GET_DRIVER_VERSION) y 0x72018 (TC_IOCTL_LEGACY_GET_DRIVER_VERSION)). Como se trata de códigos de control específicos de TrueCrypt, no de códigos estándar, los autores del malware deben comprender el código de código abierto del instalador de TrueCrypt. No hemos visto esta técnica utilizada antes ni la hemos documentado en otro malware.
Figura 2. El complemento Monitor de dispositivo envía códigos de control no estándar específicos de TrueCrypt al controlador TrueCrypt para determinar la versión de TrueCrypt
Arquitectura de la plataforma
El abogado consiste en un despachador y complementos cargables, todos los cuales se implementan como bibliotecas de enlace dinámico (DLL). El primer paso de un compromiso consiste en soltar todos estos componentes en el disco y cargar la DLL del despachador.
El despachador es el núcleo de toda la plataforma: sirve como unidad de administración y sincronización para los complementos adicionales. En cada inicio del sistema, se inyecta en casi todos los procesos en ejecución y carga todos los complementos disponibles dentro de cada uno de estos procesos. Como excepción, Fiscal evita la inyección en algunos procesos relacionados con el sistema y los productos de seguridad.
Todos los complementos dependen del despachador para implementar funcionalidades básicas. En lugar de llamar directamente a las funciones de la API de Windows, los complementos usan una referencia a una función auxiliar (un despachador de funciones) implementado por la DLL del despachador. Se pasa una referencia al despachador de funciones a los complementos cuando se cargan. Debido a que los complementos se inyectan en el mismo proceso que el despachador, comparten el mismo espacio de direcciones y, por lo tanto, pueden llamar a esta función directamente.
Las llamadas al despachador de funciones toman como argumentos el tipo de función y su identificador numérico. Este diseño hace que sea más difícil analizar componentes individuales de Fiscal sin tener acceso al despachador, ya que traduce el identificador especificado a una función significativa que luego se ejecuta.
La Figura 3 ilustra una parte de un complemento, llamando al despachador de funciones en varias ocasiones. En el desensamblaje de la derecha, hemos reemplazado los identificadores numéricos (que recuperamos mediante ingeniería inversa del despachador) con nombres descriptivos. Consulte nuestro documento técnico para obtener un análisis completo de la interfaz del despachador.
Figura 3. Los complementos adicionales utilizan funciones implementadas en el módulo principal, llamando al despachador de funciones (denominado helperFnc aquí)
Además, el despachador es el único componente de la plataforma que tiene acceso a los datos de configuración. Los complementos de Abogado recuperan sus datos de configuración del despachador a través de la interfaz, como se describió anteriormente.
Complementos
Los complementos de Fiscal se entregan a la computadora comprometida como archivos DLL, encriptados asimétricamente con RSA. Los complementos solo se recuperan completamente en la memoria, utilizando la clave pública RSA incorporada en el despachador. Como resultado, es difícil obtener los complementos de Abogado y descifrarlos sin acceso al despachador.
Pudimos recuperar ocho de los complementos de Fiscal, algunos en varias versiones; los enumeramos en la Tabla 2. Suponiendo que la numeración de los complementos es continua y que los actores detrás de Fiscal pueden usar diferentes conjuntos de complementos por víctima, sospechamos Incluso hay más complementos que aún no se han descubierto.
| ID del complemento | Versiones analizadas | Funcionalidad |
| 0x01 | 0x0E | Monitor de dispositivo |
| 0x02 | (sin versión), 0x0C | Capturador de pantalla |
| 0x03 | (sin versión), 0x08, 0x09, 0x0B, 0x0C | Grabador de audio |
| 0x05 | 0x0A | Cargador de archivos |
| 0x06 | 0x0A | Despachador de comandos / proxy SOCKS |
| 0x07 | 0x02, 0x04, 0x09, 0x0A | Registrador de llave / portapapeles |
| 0x0D | 0x03 | Cliente Tor |
| 0x10 | 0x01 | Instalador / perro guardián |
Los complementos son responsables de la persistencia de la plataforma (complemento Installer / watchdog), de recopilar información confidencial (Monitor de dispositivo, Capturador de pantalla, Grabadora de audio, Registrador de clave / portapapeles) y de la comunicación de red con el servidor C&C (Cargador de archivos, Despachador de comandos / SOCKS proxy, cliente Tor).
El abogado tiene mecanismos incorporados para agregar nuevos complementos, para actualizarse y para extraer automáticamente los datos recopilados y los archivos de registro. Estos mecanismos se ilustran en la Figura 4.
En las siguientes secciones, nos enfocamos en los complementos responsables de las dos características notables que le dieron su nombre a Abo: las huellas dactilares GSM a través de comandos AT y la comunicación de red elaborada con Tor.
Figura 4. Arquitectura del abogado. Tenga en cuenta que ID 0x06 representa un solo complemento, pero la funcionalidad se divide aquí en dos partes para mayor claridad.
Red de comunicacion
Los complementos de espionaje de Abogado recopilan datos confidenciales (como una lista de documentos presentes en el disco) que finalmente se filtran a un servidor remoto, pero estos complementos no se comunican a través de la red.
Solo dos de los componentes de Abo se comunican con su servidor de C&C: cargador de archivos y despachador de comandos.
Los archivos recopilados por los "complementos de espionaje" (monitor del dispositivo, capturador de pantalla, grabadora de audio y registrador de clave / portapapeles) se cargan automáticamente en el servidor de C&C mediante el complemento cargador de archivos. Estos complementos usan una carpeta de carga dedicada como carpeta central para almacenar los datos recopilados, y otros complementos la usan para almacenar archivos de registro.
El complemento Despachador de comandos descarga comandos y herramientas adicionales del servidor C&C y los interpreta. Nuevamente, utiliza carpetas dedicadas para almacenar sus datos, lo más destacado, complementos recién descargados y actualizaciones de la plataforma, y datos de registro cifrados que contienen el estado / resultados de los comandos ejecutados.
El despachador de Fiscal monitorea las carpetas compartidas y carga los complementos y actualizaciones nuevos que se envían a la computadora comprometida.
Esto significa que ni el despachador de Fiscal ni los complementos de espionaje se comunican con el servidor de C&C; solo usan carpetas compartidas locales para almacenar datos que se van a filtrar y para leer más instrucciones del servidor.
Tanto el cargador de archivos como el despachador de comandos usan la misma infraestructura para llegar al servidor remoto: la comunicación de la red en sí está dispersa en cuatro componentes de Abo diferentes, cada uno implementando una capa diferente.
El abogado utiliza Tor: Protocolo de servicio de cebolla, con una dirección de cebolla para el servidor de C&C. Para comunicarse con el servidor C&C, cualquier complemento debe establecer primero una conexión con el complemento del cliente Tor (escuchando el 127.0.0.1:8045 no predeterminado) que es responsable de resolver el dominio de la cebolla, elegir un circuito y cifrar datos en capas. El complemento del cliente Tor se basa en el cliente Tor y está personalizado para el diseño de este malware (tor.exe con interacción adicional con el despachador de Abo).
El complemento del cliente Tor debe comunicarse con el despachador, que implementa las funciones criptográficas. Además, se comunica con el complemento proxy SOCKS (escuchando en 127.0.0.1:5153) que transmite las comunicaciones entre el cliente Tor y el servidor remoto.
Tanto el cargador de archivos como el despachador de comandos usan FTP; los archivos se cargan / descargan desde un servidor FTP que está protegido por credenciales codificadas en la configuración:
- Servidor C&C: idayqh3zhj5j243t (.) cebolla
- Nombre de usuario hacer
- Contraseña: (Redactado)
Los complementos inician sesión en el servidor FTP y copian los datos recopilados o descargan comandos de un directorio específico de la víctima.
En total, la infraestructura para la comunicación C&C abarca cuatro componentes de Abo: el despachador proporciona funciones de cifrado y tres complementos que implementan el protocolo FTP, la funcionalidad Tor y la comunicación de red real, como se ilustra en la Figura 5. Este mecanismo hace que sea imposible analizar los comunicación de red a menos que se hayan recopilado todas las piezas del rompecabezas.
Figura 5. Cuatro componentes de Abo cooperan para permitir la comunicación con el servidor de C&C
Es importante tener en cuenta que Abo utiliza varios trucos adicionales para ocultar sus comunicaciones al usuario y los productos de seguridad:
Primero, el servidor C&C es un servicio Tor, cuyo objetivo es el anonimato y la imposibilidad de rastreo.
En segundo lugar, todos los complementos relacionados con la comunicación de la red solo se activan si se ejecutan dentro del proceso de un navegador web o una aplicación de mensajería instantánea u otras aplicaciones de red (esto se determina al comparar el nombre del proceso con una lista codificada). Este truco oculta la comunicación de red relacionada con la exfiltración en un flujo de comunicaciones legítimas realizadas por esa aplicación y, por lo tanto, reduce el riesgo de levantar sospechas.
Huellas dactilares GSM
El complemento más curioso del arsenal de Abogado recopila información sobre módems / dispositivos conectados y unidades de almacenamiento conectadas, y sobre los archivos presentes en estas unidades. Es responsable de la recopilación de metadatos, no de los archivos en sí, por lo que lo consideramos un complemento utilizado para la toma de huellas digitales del dispositivo y, por lo tanto, es probable que se utilice como base para el robo de datos.
Si bien la funcionalidad de las unidades de almacenamiento de huellas digitales de Abo es bastante estándar, su huella digital de dispositivos GSM es única.
Siempre que un módem o un dispositivo telefónico se conecta a un puerto COM, el monitor del dispositivo utiliza comandos AT para comunicarse con el dispositivo, a través del puerto serie asociado.
Los comandos AT, también conocidos como conjunto de comandos Hayes, se desarrollaron originalmente en la década de 1980 para ordenar un módem para marcar, colgar o cambiar la configuración de conexión. El conjunto de comandos se amplió posteriormente para admitir funcionalidades adicionales, tanto estandarizadas como específicas del proveedor.
en un papel reciente, se descubrió que los comandos todavía están en uso en la mayoría de los teléfonos inteligentes modernos. Esos investigadores pudieron eludir los mecanismos de seguridad y comunicarse con teléfonos inteligentes usando comandos AT a través de su interfaz USB. Se recuperaron y probaron miles de comandos, incluidos aquellos para enviar mensajes SMS, emular eventos táctiles en pantalla o filtrar información confidencial. Esa investigación ilustra que los comandos AT de la vieja escuela representan un riesgo grave cuando se usan incorrectamente.
Sin embargo, en cuanto al complemento de Abo, solo podemos especular por qué se utilizan los comandos AT. Hemos detectado una versión de 64 bits de este complemento en 2019, y podemos confirmar que todavía es parte de la versión más nueva de Abo (que vimos por primera vez en 2018). Por otro lado, parece poco probable que esté dirigido a dispositivos modernos de teléfonos inteligentes. El complemento ignora los dispositivos conectados a través de un puerto USB y solo contacta a aquellos conectados a través de un puerto serie (más precisamente, dispositivos cuyo nombres amigables coincide con "COM *").
Una explicación más probable del motivo principal del complemento es que se dirige a módems y teléfonos más antiguos. Alternativamente, se puede utilizar para comunicarse con algunos dispositivos específicos (utilizados por la víctima u organización objetivo) que están conectados al puerto COM o al puerto USB mediante un adaptador USB a serie. En este escenario, es posible que los atacantes hayan aprendido sobre el uso de estos dispositivos por parte de la víctima utilizando algunas otras técnicas de reconocimiento.
En cualquier caso, el complemento recupera la siguiente información de los dispositivos conectados, utilizando los comandos AT enumerados en la Tabla 3:
- Información básica sobre el teléfono móvil o el módem GSM / GPRS: nombre del fabricante, número de modelo, número IMEI y versión del software
- Información básica sobre el suscriptor: MSISDN y número IMSI
| Comando AT | Funcionalidad |
| A | Señales de inicio de comunicación (AT para atención). |
| AT + MODE = 2 | Prepara el teléfono para un conjunto de comandos AT + extendido. |
| AT + CGSN | Solicita el número IMEI (Identidad internacional de equipo móvil), que es un número único para identificar un dispositivo. |
| AT + CGMM | Solicita información sobre el modelo del dispositivo (número de modelo). |
| AT + CGMI | Solicita el nombre del fabricante del dispositivo. |
| AT + CGMR | Solicita la versión del software cargado en el dispositivo. |
| AT + CNUM | Solicita MSISDN (número de directorio de abonado internacional de la estación móvil), que es la asignación del número de teléfono al módulo de identidad del abonado en un teléfono móvil o celular. |
| AT + CIMI | Solicita IMSI (Identidad de suscriptor móvil internacional), que es un número único que identifica a un suscriptor GSM. Este número tiene dos partes. La parte inicial consta de seis dígitos en el estándar norteamericano y cinco dígitos en el estándar europeo. Identifica el operador de red GSM en un país específico con el que el suscriptor tiene una cuenta. La segunda parte es asignada por el operador de red para identificar al suscriptor de forma única. |
Tenga en cuenta que existen muchos más comandos AT (específicos del proveedor) que este complemento no utiliza. Es posible que los operadores de malware usen los comandos enumerados para identificar los dispositivos conectados y luego implementen otro complemento con comandos más específicos para extraer información del dispositivo.
Conclusión
Fiscal es una plataforma de espionaje, utilizada para ataques altamente dirigidos contra usuarios de alto perfil en Europa del Este y usuarios de habla rusa preocupados por la seguridad.
El malware, que ha pasado desapercibido desde 2013, tiene una arquitectura de plugin cargable que se puede usar para personalizar la funcionalidad a víctimas específicas. Incluye un complemento inusual para la toma de huellas dactilares GSM que utiliza el conjunto de comandos AT raramente utilizado e incorpora Tor con el objetivo de mantener el anonimato y la imposibilidad de rastreo.
Nuestra investigación proporciona una visión profunda del malware y sugiere que vale la pena seguir rastreando las operaciones del grupo que lo respalda.
Los nombres de detección de ESET y otros indicadores de compromiso para estas campañas se pueden encontrar en el documento técnico completo: Comandos AT, comunicaciones basadas en TOR: conoce a Abo, una criatura de fantasía y también una plataforma espía.
Agradecimientos a Anton Cherepanov, Peter Košinár y Zoltán Rusnák por su trabajo en esta investigación.
Técnicas MITRE ATT y CK
| Táctica | CARNÉ DE IDENTIDAD | Nombre | Descripción |
|---|---|---|---|
| Ejecución | T1106 | Ejecución a través de API | El despachador del abogado usa CreateProcessW API para ejecución. |
| T1129 | Ejecución a través de carga de módulo | El despachador de Abogado ejecuta complementos adicionales al cargar los archivos DLL respectivos. | |
| T1085 | Rundll32 | Complemento 0x10 horarios rundll32.exe para cargar el despachador. | |
| T1053 | Tarea programada | Complemento 0x10 horarios rundll32.exe para ejecutarse en cada inicio / inicio de sesión, y posteriormente para cargar el despachador. | |
| T1035 | Servicio de ejecución | El despachador de Abo puede ser ejecutado como un servicio. | |
| Persistencia | T1037 | Scripts de inicio de sesión | El despachador de Abogados puede establecer la persistencia agregando una clave de Registro con un script de inicio de sesión: HKEY_CURRENT_USER Environment "UserInitMprLogonScript". |
| T1050 | Nuevo servicio | El despachador de abogados puede establecer persistencia al registrar un nuevo servicio. HKEY_LOCAL_MACHINE SYSTEM * ControlSet * Control SafeBoot Minimal Las claves de registro se actualizan para ejecutar el servicio incluso en modo seguro y modo seguro con funciones de red. | |
| T1053 | Tarea programada | El complemento 0x10 programa una nueva tarea que carga el despachador en el arranque / inicio de sesión. | |
| Evasión de defensa | T1140 | Desobuscar / decodificar archivos o información | Las cadenas se encriptan con un cifrado XOR, utilizando una clave codificada. Los datos de configuración, los archivos de registro y los complementos se cifran mediante un esquema de cifrado híbrido: Blowfish-OFB combinado con RSA. |
| T1107 | Eliminación de archivos | Los archivos recopilados y los archivos de registro se eliminan después de la filtración por el complemento 0x05. | |
| T1158 | Archivos y directorios ocultos | Los atributos de los archivos de registro y los directorios se configuran como OCULTOS / SISTEMA / ARCHIVO (o una combinación de ellos). | |
| T1036 | Disfraces | El despachador de Fiscal se disfraza como una tarea legítima (es decir, el nombre y la descripción de la tarea parecen legítimos). | |
| T1112 | Modificar registro | El despachador de Abogado puede modificar la clave de registro Ejecutar. | |
| T1055 | Inyección de proceso | El despachador de Fiscal se inyecta en procesos en ejecución, para obtener mayores privilegios y evadir la detección. Evita sistemas específicos y procesos de Symantec. | |
| T1108 | Acceso redundante | Se ejecutan tanto las versiones de 32 bits como las de 64 bits del despachador de Abogado; También se inyectan en casi todos los procesos. Hay un componente de vigilancia, implementado en el despachador o como un complemento separado, que reinstala a Abo si se ha eliminado. |
|
| T1099 | Timestomp | La hora del último acceso a los archivos y las claves de registro se manipula después de que se hayan creado / modificado. | |
| T1497 | Virtualización / Evasión de Sandbox | El abogado puede detectar si se ejecuta en algunos entornos virtualizados o emulados. Si se detecta, se termina de inmediato. | |
| Acceso de credenciales | T1056 | Captura de entrada | Las credenciales de usuario se pueden recopilar mediante el complemento 0x07 mediante la captura de pulsaciones de teclas. |
| Descubrimiento | T1083 | Descubrimiento de archivos y directorios | El complemento 0x01 enumera archivos con extensiones específicas en todas las unidades de disco duro y almacena información de archivos en archivos de registro cifrados. |
| T1120 | Descubrimiento de dispositivos periféricos | El complemento 0x01 recopila información sobre dispositivos de almacenamiento, módems y dispositivos telefónicos insertados. | |
| T1082 | Descubrimiento de información del sistema | Fiscal supervisa el espacio libre en el disco del sistema. | |
| Colección | T1123 | Captura de audio | El complemento 0x03 es capaz de grabar audio usando dispositivos de sonido de entrada disponibles. |
| T1119 | Colección automatizada | El abogado recopila automáticamente datos sobre el sistema comprometido. | |
| T115 | Datos del portapapeles | El complemento 0x07 recopila datos almacenados en el portapapeles de Windows utilizando el OpenClipboard y GetClipboardData APIs. | |
| T1074 | Datos organizados | Los datos recopilados se organizan en un directorio de carga central antes de la exfiltración. | |
| T1056 | Captura de entrada | El complemento 0x07 captura las pulsaciones de teclas presionadas dentro de la ventana del proceso donde se inyecta el Abogado. | |
| T1113 | La captura de pantalla | El complemento 0x02 captura capturas de pantalla de las aplicaciones de destino. | |
| Comando y control | T1043 | Puerto de uso común | El abogado usa el puerto 21 para la comunicación C&C. |
| T1188 | Proxy de salto múltiple | El abogado usa Tor para la comunicación C&C. | |
| T1079 | Cifrado multicapa | El abogado envía tráfico encriptado usando Tor, que a su vez usa múltiples capas de encriptación. | |
| T1105 | Copia remota de archivos | Abo puede descargar complementos adicionales, actualizaciones y otros archivos. | |
| T1071 | Protocolo de capa de aplicación estándar | El protocolo FTP se utiliza para la comunicación C&C. | |
| T1032 | Protocolo criptográfico estándar | Se utiliza una combinación de Blowfish-OFB y RSA para el cifrado de datos. | |
| Exfiltración | T1020 | Exfiltración Automatizada | La extracción de los datos recopilados y los archivos de registro se realiza automáticamente mediante el complemento 0x05. |
| T1022 | Datos cifrados | El abogado encripta los datos con una combinación de cifrados Blowfish y RSA antes de enviarlos al servidor de C&C. | |
| T1041 | Exfiltración sobre el canal de comando y control | El abogado extrae datos a través del canal de C&C. |
