Flame

El malware Flame es una herramienta sofisticada de ciberespionaje que comparte código con la primera ciberarma digital Stuxnet, haciendo uso de la característica de Windows Autorun para propagarse utilizando memorias USB y aprovechando una vulnerabilidad 0day de buffer-overflow en el fondo de pantalla de Windows que proporcionaba permisos de administrador a los atacantes. Este malware ha estado activo durante al menos 4 años, transcurso de tiempo mientras se desarrolló, mejoró y utilizó Stuxnet y Duqu. El alcance de su infección ha sido muy controlada, algo más de 1000 máquinas, aunque repartidas en más de 12 países, principalmente países de Oriente Medio.

El malware Flame está compuesto por 20 módulos y ha heredado el nombre del módulo principal, dependiendo de la finalidad del espionaje los atacantes desplegaban unos u otros sobre la máquina infectada mediante una puerta trasera. Mientras que Stuxnet era una bomba de 500 KB, las 650.000 líneas de código de Flame ocupan nada más y nada menos que 20 MB. Entre sus módulos podemos encontrar uno llamado Viper capaz de robar documentos, otro que registra las teclas que pulsamos, además de realizar capturas de pantalla periódicamente, otro capaz de grabar conversaciones encendiendo el micrófono u otro capaz de robar la información que se transmite mediante bluetooth.

Una de las cosas llamativas de Flame es que tan solo transmitía el primer KB de los ficheros robados hacia los servidores de control, donde probablemente se analizaba mediante el proyecto TURBINE, que fue revelado por Edward Snowden, para ver si era interesante descargarlo por completo. Flame tenía una lista de extensiones de ficheros que vigilaba, entre ellos documentos de Microsoft Word, presentaciones PowerPoint, archivos Excel y documentos AutoCAD, los cuales también eran objetivo del malware Duqu, además también robaba certificados digitales.

Otra de las características impactantes era su mecanismo de propagación en la red local, utilizaba el ataque denominado evilgrade que se aprovechaba del sistema de actualizaciones de Windows. De tal manera que cuando un equipo realizaba una petición de actualización hacia los servidores de Microsoft, esta petición era capturada por una máquina infectada que respondía con un paquete de actualización camuflando la herramienta de espionaje. Para ello era necesario firmar la actualización con un certificado digital legítimo de Microsoft, que los atacantes habían conseguido explotando una debilidad en el algoritmo MD5 que permite crear el mismo hash desde dos conjunto de datos distintos, es decir, consiguieron colisiones en el hash, una tarea nada fácil que requiere mucho cómputo y que necesita generar muchos certificados para obtener uno bueno.

Flame que estaba dirigido hacia compañías privadas, agencias del gobierno e instituciones académicas es un malware del que se tiene mucha información debido a que cuando los atacantes se percataron que estaban siendo investigados cometieron una torpeza al llamar al módulo Browse32, dedicado a limpiar los sistemas infectados que les permitiría borrar cualquier evidencia del ciberespionaje. El error lo tuvieron al llamar al script LogWiper.sh encargado de borrar todos los logs de los servidores de control finalizando con un auto-borrado, sin embargo el auto-borrado intentaba borrar el fichero logging.sh en lugar de LogWiper.sh dejando a los servidores de control con suficiente información de la operación de espionaje. Por ejemplo se sabe que uno de los servidores de control ubicado en Malasia alojaba una web llamada NewsforYou donde en los apartados “News” y “Ads” se encontraban los módulos que los atacantes instalaban en los equipos de las víctimas, mientras que el apartado “Entries” almacenaba datos de los equipos infectados.

Leer, analizar y estudiar el funcionamiento de malwares de la talla como Stuxnet, Duqu o Flame nos muestra la inteligencia, habilidades y destrezas excepcionales de los atacantes.

Un saludo amigos!

Duqu: El hijo de Stuxnet

El hijo de Stuxnet que pasó a llamarse Duqu porque todos los archivos temporales que creaba empezaban por ~DQ era una herramienta de ciberespionaje dedicada a robar información de infraestructuras críticas, tales como centrales eléctricas y nucleares, refinerías y oleoductos. Se piensa que Duqu fue la herramienta perfecta para robar información de la arquitectura y funcionamiento de la planta nuclear de Natanz para posteriormente lanzar Stuxnet con el objetivo de ralentizar el enriquecimiento de uranio Iraní y así retrasar la fabricación de bombas nucleares.

Este malware que fue descubierto por primera vez en Septiembre del 2011 en el laboratorio CrySys de Hungria estaba compuesto por un conjunto de módulos de logger keystroke e infostealer diseñados para robar contraseñas, además de realizar capturas de pantalla y robar documentos, especialmente ficheros de AutoCAD. Duqu era un troyano que daba acceso remoto a los atacantes mediante comunicaciones cifradas con el algoritmo AES que les permitía instalar otros módulos de espionaje. La utilización de comunicaciones cifradas hacía que Duqu fuese más sigiloso que Stuxnet cuando se conectaba a los servidores de control C&C repartidos por Europa y Asia. Además, al contrario que Stuxnet con más de 100.000 máquinas infectadas, la baja propagación de Duqu y un adecuado control de la difusión del malware permitía a los atacantes gestionar dos o tres máquinas infectadas por cada servidor de control, evitando que si alguien se hacía con la gestión de algún servidor de control no tuviese una visión completa del alcance del ataque.

Viendo la baja propagación del ataque, claramente estamos ante un ataque dirigido hacia empresas y organismos concretos. Al contrario de Stuxnet donde los mecanismos de propagación eran automáticos, Duqu se propagaba de manera manual con la intervención del atacante, principalmente mediante phishing. Además si comparamos el cifrado de Duqu con el de Stuxnet, el cifrado de Duqu era débil, disponía de un bloque de configuración cifrado donde se guardaba una clave para descifrar un registro, dentro de este registro había otra clave para descifrar el fichero .DLL principal de Duqu.

Según las investigaciones del laboratorio húngaro CrySys, junto con la ayuda de Symantec, McAffe y Microsoft, el malware les llegó mediante un correo de phishing con un documento de Microsoft Word adjunto que aprovechaba una vulnerabilidad 0day de buffer-overflow en el motor de parseo de fuentes TrueType de Windows, inicialmente podría parecer que los atacantes tan solo iban a tener acceso de usuario con esta vulnerabilidad ya que se ejecuta en el contexto del usuario, pero no fue así, sino que el código malicioso atravesaba varias capas de protección instalándose y ejecutándose a nivel del kernel.

En definitiva, estamos ante una herramienta de espionaje y no una herramienta de sabotaje como era Stuxnet, que además estaba firmada digitalmente por una empresa Taiwanesa confiable llamada C-Media Electronics permitiendo su instalación de manera desapercibida, que utilizaba su propio lenguaje orientado a objetos llamado OO-C que hacía más difícil leer el código, además de ser más pequeño y portable, con un objetivo muy claro y con fecha de caducidad que desactivaba y eliminaba el malware para evitar ser descubierto. En fin … una obra de ingeniería desarrollada probablemente por algún gobierno y que ha estado activa durante aproximadamente cuatro años para ¿vigilancia o espionaje?

Un saludo amigos.

Protección de Infraestructuras Críticas

Pocas personas en el mundo alguna vez han oído hablar sobre PLCs, estos son componentes que regulan algunos de los procesos e instalaciones más críticos del mundo. Los PLCs son usados en una gran variedad de sistemas de control automatizado, o también conocidos como sistemas SCADA (Supervisory Control and Data Acquisition), son sistemas de control distribuidos que pueden estar compuestos por generadores, turbinas, calderas, etc. Estos sistemas también controlan las bombas que transmiten las aguas sucias a la planta de tratamiento y previene que los depósitos de agua se desborden, estos sistemas pueden abrir y cerrar válvulas de gas para prevenir acumulaciones de presión que pueden causar explosiones y rupturas mortales. Cosas obvias, pero no menos importantes, usan también sistemas de control industrial. Por ejemplo los sistemas que controlan los robots de una cadena de montaje de coches, la distribución y mezcla de los ingredientes de una planta farmacéutica y química. Estos sistemas también son usados por los fabricantes de bebidas y comidas para configurar y monitorizar temperaturas y sensores, para asegurar que la comida esté pasteurizada y cocida, matando todas las bacterias. Estos sistemas ayudan a mantener estables las temperaturas en los hornos donde se hace el vidrio, la fibra de vidrio y el acero para asegurar la integridad de los rascacielos, coches y aviones. Estos sistemas también controlan los semáforos, abren y cierran puertas de seguridad como la de las prisiones, y abren y cierran puentes en carreteras y vías fluviales. También ayudan a cambiar la ruta de los trenes para prevenir accidentes. En menor escala, también controlan los ascensores de grandes edificios, sistemas de aire acondicionado y calefacción de hospitales, colegios y oficinas. En resumen, los sistemas de control industrial son componentes críticos que mantienen en correcto funcionamiento las infraestructuras y las industrias de todo el mundo. Estos sistemas necesitan ser fiables y seguro. Y como ha demostrado Stuxnet, estos aún no son los suficientemente seguros. 

Tras ver a Stuxnet atacar sistemas de control industrial, la puerta está abierta para lanzar cualquier otro tipo de ataque. No es necesario tener unas habilidades extremas para lanzar un ataque contra una depuradora o un sistema de control de semáforos.

 

Los PLCs existen mucho antes que los virus. Inicialmente las cadenas de montajes utilizaban sistemas de control de relé cableado y cada vez que se quería hacer algún ajuste había que llamar al electricista. Posteriormente, con los PLCs era más fácil de ajustar y monitorizar los sistemas, ya que tan solo se necesitaba unas líneas de código. Tras este gran avance y definitivamente con las leyes de medio ambiente en la que las industrias debían habilitar una conexión remota a los gobiernos para monitorizar la contaminación y la energía consumida, se conectaron los sistemas industriales a módems permitiendo el acceso remoto. Todo esto hace que hoy en día sea mucho más sencillo entrar y vulnerar sistemas de control industrial. 

La mayoría de infraestructuras críticas son gestionadas y mantenidas por empresas privadas donde en muchos casos el gobierno no puede hacer nada, por este motivo se creó el organismo CNPIC para regular, controlar y exigir a las empresas privadas que las infraestructuras críticas cumplan con los niveles mínimos de seguridad. 

Nos podemos encontrar infraestructuras críticas que están conectadas a Internet con contraseñas por defecto, contraseñas grabadas a fuego en los sistemas por los fabricantes y que no se pueden cambiar, sistemas no parcheados y des-actualizados, y falta de protecciones estándares como cortafuegos, sistemas de detección y protección de intrusos, SIEM, etc. 

A pesar de las advertencias de muchos ingenieros de la necesidad de proteger las infraestructuras críticas, no fue hasta la publicación de Stuxnet en el 2010 cuando la industria se dio cuenta que la protección de las infraestructuras críticas debía ser obligatoria. 

Es fácil encontrarse con sistemas que no cifran la comunicación entre la máquina de programación del PLC y el PLC, de tal manera que se puede hacer un MiTM para capturar los comandos enviados al PLC y enviarle aquellos comandos que el atacante esté interesado. Además, podemos encontrarnos PLCs que no comprueban la autenticidad de la máquina origen mediante firma digital, por lo que nos podemos hacer pasar por un equipo confiable para enviarle comandos al PLC. Una vez que nos hacemos con el control del PLC podemos incluso cambiarle la contraseña para que los usuarios legítimos no puedan entrar en el PLC.

Los problemas de seguridad en estos sistemas perduran durante mucho tiempo, ya que el tiempo de vida de estos sistemas puede llegar a ser de 20 años, nada que ver con el tiempo de vida de un PC. Por tanto, no suelen actualizarse y se aplican pocos parches, además nos podemos encontrar el caso que tras 20 años de vida, los nuevos componentes que se vayan a instalar tienen que ser compatibles con los anteriores manteniendo los problemas de seguridad. Aplicar parches a un sistema de control industrial no suele ser frecuente ya que puede conllevar la parada durante varias horas del sistema. 

Antes este tipo de sistemas estaban en una red aislada, no estaban conectados a Internet, sin embargo hoy en día nos podemos encontrar más de 10000 sistemas de control industrial conectados a Internet. Como podemos ver en el servicio Shodan, existen sistemas publicados a Internet que controlan plantas nucleares, plantas de tratamiento de aguas, presas, puentes, estaciones de tren, etc. 

Muchos sistemas SCADA si no están publicados en Internet son accesibles a través de módem, y éstos tan solo están protegidos por las contraseñas por defecto que en muchos casos son tres dígitos. Claro ... cuando un operador está nervioso porque su sistema SCADA no funciona no quiere perder tiempo adivinando las contraseñas, además estos sistemas no tienen mecanismos de defensa como por ejemplo bruteforce, es decir, puedes intentar adivinar la contraseña todas las veces que necesites. 

Los sistemas de control industrial que son accesibles desde Internet tienen un riesgo obvio, sin embargo, también podemos llegar a estos sistemas industriales infectando memorias USB o los archivos de proyectos que los ingenieros utilizan para programar los PLCs, o incluso provocar problemas mediante pulsos electromagnéticos.

Como hemos visto hay muchas formas de atacar infraestructuras críticas, sin embargo la más efectiva es atacar a aquella de la que dependen todas, la red de energía eléctrica, cortar la electricidad durante un tiempo prolongado afectará a todos los sectores y producirá grandes pérdidas económicas y materiales. Por eso, proteger este tipo de entornos debería ser imprescindible. Aunque hoy podemos ver en muchas casas que se está instalando contadores inteligentes de luz capaces de obtener el consumo de luz de las casas de forma remota e incluso cortarte la luz sin enviar ningún técnico. Pues al igual que la compañía eléctrica nos puede cortar la luz, si el sistema que controla estos contadores se infecta podría cortar la luz a miles de personas fácilmente.

¿Estamos haciendo todo lo posible para proteger adecuadamente nuestras infraestructuras críticas?

Para los reyes quiero un exploit

Hoy sacaremos las cabalgatas, recogeremos caramelos y nos acostaremos tempranito para mañana levantarnos cuanto antes y divertirnos con los nuevos juguetes que nos traen los Reyes Magos. Este es un mundo feliz muy alejado del mundo de venta de vulnerabilidades y exploits, donde delincuentes y no tan delincuentes compran talento, inteligencia y en definitiva líneas de código para espiar, controlar y sabotear infraestructuras del enemigo, de aliados o incluso de personas influyentes o ciudadanos de a pie.

Si no tenemos el talento para descubrir vulnerabilidades y crear exploits siempre podemos pasarnos por los “mercados” para comprarlo. Podemos diferenciar tres mercados para la compra de vulnerabilidades:

• Mercado blanco: En este segmento se encuentran algunos fabricantes de software. Si eres investigador de seguridad y encuentras una vulnerabilidades 0day puedes vendérsela al fabricante. Aunque aún hay fabricantes que no están dispuestos a recompensar a investigadores que encuentren bugs en su software. Un ejemplo aproximado del precio por vulnerabilidad lo podemos encontrar a continuación:

• Mozilla Foundation $3,000 en el navegador Firefox y en el cliente de correo Thunderbird.
• Microsoft $11,000 en 2013 para el navegador Internet Explorer 11. Ahora ofrece $100,000, además otros $50,000 por una solución.
• Google $500–$20,000 para el navegador Chrome, Gmail y YouTube, aunque pagará $60,000 para algunos tipos de bugs encontrados en Chrome.
• Apple y Adobe aún no tienen programa de recompensas.

• Mercado gris: Se presupone que los compradores son chicos buenos, que actúan con el interés de la seguridad nacional y de sus ciudadanos. Los compradores suelen ser agencias del gobierno y empresas privadas. Los fallos de seguridad vendidos en este mercado no son públicos y por tanto el fabricante no puede desarrollar su parche. Se puede dar el caso que una agencia del gobierno compre una vulnerabilidad 0day de la cuál es vulnerable pero como es desconocida por el fabricante, el propio gobierno sigue estando expuesto al fallo de seguridad. Un ejemplo aproximado del precio por vulnerabilidad lo podemos encontrar a continuación:

• Adobe Reader: Entre $5,000 y $30,000.
• Mac OS: $50,000.
• Flash o Windows: $100,000 o más.
• Apple’s iOS: $100,000.
• Firefox, Internet Explorer, y Chrome: $60,000 o más de $200,000 .

• Mercado negro: En este segmento se encuentran los delincuentes y criminales con intereses espurio. No sólo te venden la vulnerabilidad 0day sino que también el payload, es decir, el exploit para aprovechar la vulnerabilidad. Al igual que en el mercado gris, las vulnerabilidades no son públicas y su precio está muy por encima de los dos anteriores mercados. El precio del exploit varía sustancialmente si se vende exclusivamente a un cliente o por el contrario se puede revender.

Aunque también existen intermediarios, como “The Grugq” que se lleva un 15% por cada transacción de venta de exploits, actualmente podemos encontrar empresas dedicadas a encontrar vulnerabilidades para venderlas en el mercado gris. Un ejemplo son las siguientes.

• EEUU: Endgame Systems, Harris, Raytheon, Northrop Grumman, SAIC, Booz Allen Hamilton, y Lockheed Martin.
• Malta: ReVuln especializada en crear exploits para sistemas de control industrial.
• Francia: VUPEN que vende a agencias de inteligencia y gobiernos.
• Italia: Hacking Team vende herramientas de vigilancia y utiliza 0days para instalar sus herramientas.
• Reino Unido: Gamma Group vende herramientas de vigilancia y utiliza 0days para instalar sus herramientas.
• España: ¿? Muchas empresas son secretas para evitar ser atacadas y descubiertas.

Por ejemplo, la compañía americana Endgame disponía de tres herramientas, Maui, Cayman y Corsica. Con un coste de 2.5 de millones de dolares al año la herramienta Maui ofrecía 25 exploits 0days, mientras que por 1.5 millones de dólares la herramienta Cayman proporcionaba información sobre millones de máquinas infectadas, la mayoría pertenecientes al gobierno ruso y a sus infraestructuras críticas.

Por otro lado, el paquete de protección de amenazas que ofrece Vupen incluye exploits para probar los 0days. Los subscriptores al portal de Vupen tienen una especie de tienda online para comprar exploits o solicitar exploits. Sin embargo, este tipo de programas sólo está disponible para la policía y para agencias de inteligencia pertenecientes a la OTAN, ANZUS, y ANSA.

Investigadores de estas empresas nos los podemos encontrar en conferencias como CanSecWest y Pwn2Own.

Si se venden armas y tanques al gobierno, ¿por qué no vender exploits? La venta de exploits es legal pero no está regulado, no llevan copyright. Mientras que cada vez hay más compañías de seguridad que su principal negocio es buscar vulnerabilidades y crear exploits, en 2013 se intentó regular la venta de ciberarmas y exploits 0days. El acuerdo, llamado Wassenaar, trata de evitar la venta de exploits a terroristas y criminales, pero no a gobiernos. 
 

Mientras tanto, el mercado gris sigue creciendo, por un 0day se puede llegar a pagar cantidades desorbitadas y esto parece que nada más que ha hecho empezar.

¿Qué le has pedido a los reyes magos?