Nuevo malware iraní de limpiador de datos llega a Bapco, la compañía petrolera nacional de Bahrein

Ciberseguridad


Mapa de Bapco

Los piratas informáticos patrocinados por el estado iraní han desplegado una nueva variedad de malware de borrado de datos en la red de Bapco, La compañía petrolera nacional de Bahrein, ZDNet ha aprendido de múltiples fuentes.

El incidente tuvo lugar el 29 de diciembre. El ataque no tuvo el efecto duradero que los piratas informáticos hubieran deseado, ya que solo una parte de la flota de computadoras de Bapco se vio afectada, y la compañía continuó operando después de la detonación del malware.

ZDNet ha aprendido de varias fuentes que el incidente de Bapco es el ciberataque descrito en una alerta de seguridad publicado la semana pasada por la Autoridad Nacional de Ciberseguridad de Arabia Saudita. Los funcionarios sauditas enviaron la alerta a las compañías locales activas en el mercado de la energía, en un intento de advertir sobre ataques inminentes, e instaron a las compañías a asegurar sus redes.

El incidente de seguridad de Bapco salió a la luz en medio de las crecientes tensiones políticas entre Estados Unidos e Irán después de que el ejército estadounidense mató a un general militar iraní en un ataque con aviones no tripulados la semana pasada.

Aunque el incidente de Bapco no parece estar relacionado con las tensiones políticas actuales entre EE. UU. E Irán, sí muestra las capacidades técnicas avanzadas de Irán cuando se trata de lanzar ataques cibernéticos destructivos, algo sobre lo que el Departamento de Seguridad Nacional de EE. UU. advirtió en una alerta publicada durante el fin de semana.

El malware Dustman

En el corazón del reciente ataque de Bapco hay una nueva variedad de malware llamada Dustman. Según un análisis realizado por la agencia de seguridad cibernética de Arabia Saudita, Dustman es un llamado limpiador de datos: malware diseñado para eliminar datos en computadoras infectadas, una vez que se ejecuta.

Dustman representa el tercer malware diferente de borrado de datos vinculado al régimen de Teherán. Los piratas informáticos respaldados por el estado iraní tienen una larga historia de desarrollo de malware que borra datos.

La incursión de Irán en el malware de borrado de datos se remonta a 2012 cuando se desarrollaron Shamoon (también conocido como Disttrack), una pieza de malware que fue responsable de limpiar más de 32,000 PC en la compañía petrolera Saudi Aramco en Arabia Saudita, en uno de los ciberataques más infames del mundo.

Dos versiones más de Shamoon fueron descubiertas en los años siguientes, Shamoon v2 (utilizado en 2016 y 2017) y Shamoon v3 (utilizado en 2018 y 2019).

Según un informe publicado por IBM X-Force, los piratas informáticos iraníes también están vinculados a ataques de borrado de datos con una segunda cepa de malware diferente llamada ZeroCleare, descubierto por primera vez en la naturaleza en septiembre de 2019.

Según los funcionarios sauditas de la CNA, Dustman parece ser una versión mejorada y más avanzada del limpiador ZeroCleare que se descubrió el otoño pasado, que, a su vez, tenía múltiples similitudes de código con el Shamoon original.

El principal componente compartido entre las tres cepas es EldoS RawDisk, un kit de herramientas de software legítimo para interactuar con archivos, discos y particiones. Las tres cepas de malware utilizan diferentes exploits y técnicas para elevar el acceso inicial al nivel de administrador, desde donde desempaquetan y lanzan la utilidad EldoS RawDisk para borrar datos en hosts infectados.

Dado que Dustman se considera una versión evolucionada de ZeroCleare, la mayor parte del código es el mismo, pero los funcionarios sauditas de la CNA que analizaron el malware dijeron que Dustman tiene dos diferencias importantes:

  • La capacidad destructiva de Dustman y todos los controladores y cargadores necesarios se entregan en un archivo ejecutable en lugar de dos archivos, como fue el caso de ZeroCleare.
  • Dustman sobrescribe el volumen, mientras que ZeroCleare borra un volumen sobrescribiéndolo con datos basura (0x55)

Bapco targeting

Las fuentes le dicen a ZDNet que la focalización de Bapco con Dustman encaja en el modus operandi regular de conocidos piratas informáticos patrocinados por el estado iraní.

Históricamente, antes del despliegue de Dustman el 29 de diciembre, los hackers iraníes usaban Shamoon y ZeroCleare exclusivamente contra compañías en el campo de petróleo y gas.

Los objetivos anteriores incluían compañías con vínculos con el régimen saudita y Saudi Aramco, la compañía petrolera nacional de Arabia Saudita. Irán y Arabia Saudita han tenido relaciones tensas desde la década de 1970, debido a las diferencias en la interpretación del Islam, y debido a su competencia en el mercado de exportación de petróleo.

Bapco es una empresa propiedad del régimen de Bahrein, un país que ha tenido relaciones políticas tensas con el régimen de Teherán, y que es un socio comercial conocido de Saudi Aramco.

Cómo tuvo lugar el ataque

Al momento de escribir este artículo, Bapco parece ser la única víctima de un ataque con el malware Dustman, aunque esto no significa que el malware no se haya implementado en la red de otros objetivos.

Según el informe de la CNA, los atacantes no parecen haber planeado desplegar Dustman en el momento en que lo hicieron, pero parecen haber desencadenado el proceso de borrado de datos como un último esfuerzo para ocultar evidencia forense después de cometer una serie de errores eso habría revelado su presencia en la red pirateada.

Fuentes que hablaron con ZDNet bajo condición de anonimato afirmaron que la compañía de Bahrein estuvo comprometida durante el verano.

Los funcionarios sauditas de la CNA, junto con nuestras fuentes, confirmaron que el punto de entrada eran los servidores VPN de la compañía. El informe de la CNA cita "vulnerabilidades de ejecución remota en un dispositivo VPN que se reveló en julio de 2019" como el punto de entrada de los atacantes en la red de Bapco

Si bien los funcionarios no culparon a ningún dispositivo específico, lo más probable es que se refieran a un Informe Devcore publicado durante el verano que reveló errores de ejecución remota en una gran cantidad de servidores VPN de nivel empresarial, como los de Fortinet, Pulse Secure y Palo Alto Networks.

Aquí es donde nuestras fuentes divergieron. Algunos dijeron que los piratas informáticos explotaron una vulnerabilidad en los servidores Pulse Secure, mientras que otros señalaron con el dedo a los servidores Fortinet VPN.

Una búsqueda con el motor de búsqueda BinaryEdge muestra que una parte de la red vpn.bapco.net, de hecho, ejecutarse en dispositivos Fortinet VPN. Sin embargo, también es posible que Bapco haya ejecutado servidores Pulse Secure en el pasado, lo que ha eliminado, mientras tanto.

De cualquier manera, si bien nuestras fuentes diferían en el servidor VPN exacto explotado en el ataque, estuvieron de acuerdo en que aquí fue donde entraron los piratas informáticos. Según el informe de la CNA saudita, los piratas informáticos obtuvieron el control sobre el servidor VPN, y luego aumentaron su acceso al local controlador de dominio.

Citamos del informe:

El actor de la amenaza obtuvo cuentas de administrador y servicio de dominio en la red de la víctima, que se utilizó para ejecutar el malware "DUSTMAN" en todos los sistemas de la víctima. El atacante utilizó la cuenta de servicio de la consola de administración de antivirus para distribuir el malware a través de la red.
(…)
El actor de la amenaza accedió a la red de la víctima y copió el malware y la herramienta de ejecución remota "PSEXEC" en el servidor de la consola de administración de antivirus, que estaba conectado a todas las máquinas dentro de la red de la víctima debido a la naturaleza de su funcionalidad. Pocos minutos después, el atacante accedió al servidor de almacenamiento de las víctimas y eliminó todos los volúmenes manualmente.

Luego, los atacantes ejecutaron un conjunto de comandos en el control de gestión antivirus para distribuir el malware a todas las máquinas conectadas y, a través de (PSEXEC), el malware ejecutó y soltó (3) archivos adicionales, dos controladores y el limpiador. La mayoría de las máquinas conectadas fueron borradas.

Bapco attack MO "src =" https://zdnet2.cbsistatic.com/hub/i/2020/01/09/c5ad50b4-44c0-4c64-9b71-e6257abf2974/bapco-attack.png

Imagen: Arabia Saudita CNA

Los ataques exitosos dieron como resultado que todos los sistemas eliminados mostraran un mensaje de pantalla azul de la muerte (BSOD).

dustman-bsod.png "src =" https://zdnet4.cbsistatic.com/hub/i/2020/01/09/a4f6592b-d892-499d-9059-94cd08f59859/dustman-bsod.png

Imagen: Arabia Saudita CNO

Según los funcionarios sauditas, había una sensación de urgencia en las acciones del atacante. Se desconoce el motivo de la urgencia.

"El malware DUSTMAN fue compilado, posiblemente en la infraestructura del actor de amenaza, unos minutos antes de desplegarlo en la red de la víctima", dijeron funcionarios sauditas de la CNA. "Esto es inconsistente con los ataques destructivos conocidos, ya que generalmente se prueban antes de desplegarse".

Sin embargo, esta prisa y la falta de pruebas tuvieron un impacto en el éxito de la operación de borrado, y el malware no se ejecutó correctamente en algunos sistemas.

Las autoridades sauditas creen que los atacantes también notaron las toallitas fallidas, ya que intentaron eliminar los artefactos de Dustman de estos sistemas, y luego borraron los registros de acceso en el servidor VPN, antes de abandonar la red de la compañía.

Los funcionarios de Bapco se enteraron del ataque al día siguiente, el 30 de diciembre, cuando los empleados llegaron a trabajar. Ellos rastrearon el ataque e identificaron el malware Dustman porque algunas estaciones de trabajo estaban en modo de suspensión en el momento del ataque.

Cuando se iniciaron estos sistemas, intentaron ejecutar el malware, pero el antivirus (desactivado en el momento del ataque original) detectó y evitó el ataque.

Muestras de malware Dustman se han filtrado en línea

Una de estas muestras de malware fue cargado en Hybrid-Analysis, un entorno de análisis de sandbox en línea, el mismo día que se descubrió el ataque.

Los archivos finalmente llegaron a esta semana en VirusTotal y Twitter

Los expertos en seguridad que hablaron con ZDNet no pudieron vincular el ataque con un grupo específico patrocinado por el estado iraní, citando una falta de visibilidad total en el ataque.

Para el contexto, McAfee vinculó los ataques de Shamoon con un grupo de piratería iraní conocido como APT33, mientras que IBM vinculó ZeroCleare a dos grupos: xHunt y APT34.

A pesar de los repetidos intentos, los funcionarios de Bapco no respondieron a una solicitud de comentarios.

El informe de la CNA de Arabia Saudita también contiene consejos de mitigación para compañías activas en el campo de petróleo y gas, lo que representaría un objetivo para los ataques con el malware Dustman. Luego de la reciente escalada en las tensiones políticas entre Estados Unidos e Irán, las compañías de petróleo y gas de Estados Unidos probablemente también estén en el directorio.





Enlace a la noticia original

Related Posts

Estafas de matanza de cerdos: la anatomía de una amenaza de rápido crecimiento

30/03/2023

Spira apunta a la gestión de la postura de seguridad de la identidad

30/03/2023

El paquete del navegador Tor manipulado con troyanos arroja malware

30/03/2023

Prime Tech Expertise advierte sobre la amenaza de la IA para la existencia humana en una carta abierta

29/03/2023

Los ciberdelincuentes apuntan a un mistake crítico de transferencia de archivos de IBM

29/03/2023

Los correos electrónicos de phishing aumentaron un 569 % en 2022

29/03/2023