Español | English
rss facebook linkedin Twitter

La Smart-grid desde el punto de vista de los “malos”

La Smart-grid o red eléctrica inteligente es una red eléctrica modernizada que integra los últimos avances de las TIC dentro en toda la cadena de valor del negocio eléctrico (generación, transporte, distribución y comercialización).

Esta red permite la recopilación de gran cantidad de datos sobre el funcionamiento de la red y la administración remota de todos sus componentes, permitiendo una gestión más eficiente. Pero la Smart-grid también implica una serie de nuevos riesgos para el sector. Especialmente riesgos de ciberataques malintencionados.

La Smart-grid es un objetivo muy jugoso para “los malos”, que podrían ser entre otros trabajadores descontentos, agencias de inteligencia extranjeras, crimen organizado, extorsionadores, terroristas, etc.

Estos grupos inicialmente no tienen un conocimiento directo de las vulnerabilidades que pueda tener una Smart-grid y probablemente van a atacar los puntos aparentemente más débiles de la infraestructura para intentar alcanzar sus objetivos.

Si hacemos un pequeño juego de rol y nos ponemos en el papel de estos “malos”, podemos simular su forma de pensar y adivinar por dónde van a atacar. Esto nos puede ayudar a protegernos con mayor eficacia.


Si partimos de este esquema aproximado de una red eléctrica ficticia:


Podemos identificar algunos de los puntos que podrían estar más expuestos a ciberataques:
  • Los accesos desde la red corporativa.
  • Las estaciones remotas.
  • Las comunicaciones GPRS.
  • Las comunicaciones vía satélite.
  • Los contadores inteligentes.
  • Las comunicaciones vía PLC.
  • Las comunicaciones vía Radio.


Estos elementos de la red se encuentran más expuestos a ataques, bien por ser accesibles fácilmente o bien por presentar vulnerabilidades conocidas.


Los accesos desde la red corporativa están expuestos porque estas redes son muy grandes y difíciles de controlar en su totalidad. Hay usuarios conectando desde distintas partes del mundo, oficinas repartidas físicamente, distintos tipos de accesos a Internet, conexiones con clientes y proveedores, etc. Estas redes suelen contar con varios mecanismos de seguridad pero también han sido el objetivo tradicional por parte de los atacantes y por lo tanto es donde estos cuentan con una mayor experiencia ofensiva. Además, en muchos casos no se realiza una correcta segregación y control de accesos hacia los sistemas industriales que permiten operar las distintas infraestructuras eléctricas (subestaciones, centros de transformación, contadores eléctricos, centros de control, etc.).

Las estaciones remotas normalmente se encuentran en medio del campo o en lugares apartados y su seguridad física o la seguridad del cableado de red es más difícil de controlar. Por ejemplo es habitual encontrar remotas de telecontrol en centros de transformación y subestaciones. Los primeros normalmente los encontramos en armarios o pequeños locales protegidos por candados/puertas cuya seguridad es baja. Los segundos, aun incluyendo otro tipo de medias de seguridad física más complejas (sensores, vallados, CCTV, etc.) también suelen ser localizaciones desatendidas.

La comunicación GPRS y en general cualquier tipo de comunicación por el aire, se puede capturar por parte de usuarios maliciosos. Si estas comunicaciones no incorporan cifrado robusto o presentan vulnerabilidades, pueden ser utilizadas como una vía de acceso a la red interna. En el caso de GPRS, se conocen desde hace tiempo debilidades que comprometen en gran medida su seguridad. Por una parte el cifrado utilizado a nivel GSM puede ser roto con los equipos adecuados y por otra parte no existe un proceso de autenticación segura por el lado de la BTS que da el servicio GSM frente al terminal, de forma que es posible la realización de ataques de estación base falsa para interceptar el trafico GPRS.

Un ejemplo de la explotación práctica de estas vulnerabilidades fue presentado hace unos años en la BlackHat DC 2011 por dos investigadores españoles.

Las comunicaciones vía satélite presentan riesgos similares. La señal recibida del satélite se puede capturar libremente del aire y si no se implementa un cifrado robusto, su seguridad podría ser comprometida.

Un ejemplo de estos ataques fue presentado por un compañero de S21SEC en la BlackHat DC 2010 y recientemente otro investigador español ha publicado un artículo bastante detallado sobre los riesgos de este tipo de comunicaciones.

Los contadores inteligentes están habitualmente en armarios con baja seguridad dentro de los edificios o incluso a veces accesibles fácilmente desde la calle, de forma que su manipulación es sencilla. También es posible comprar contadores inteligentes en páginas de segunda mano para analizar su electrónica, manipularlos y extraer la información de seguridad contenida en los mismos.

Las comunicaciones vía PLC entre contadores y concentradores (que por cierto, suelen encontrarse también en los centros de transformación, junto con las unidades remotas dedicadas al telecontrol de los transformadores) se realizan a través de un medio compartido (el cable eléctrico) de forma que pueden ser capturadas o manipuladas por cualquier usuario que tenga acceso a un enchufe eléctrico en las proximidades.

Y por último, las comunicaciones vía radio presentan una situación similar y pueden ser capturadas si un usuario malicioso se encuentra dentro del alcance de la señal.

Cualquiera de estos puntos es probable que sea objeto de ciberataques en un futuro cercano y por lo tanto es necesario diseñar medidas de seguridad y de detección adecuadas para mitigar estos riesgos. 

Estos aspectos los iremos cubriendo en los próximos artículos, pero si queréis ir entrando en materia podéis acudir a los documentos publicados por ENISA sobre seguridad en Smart-grid y preparados con la colaboración del equipo de investigación de S21SEC. 


Ramón Pinuaga
S21SEC





Nuevo troyano bancario 'Slave' afectando a bancos de Polonia

Hemos detectado un nuevo troyano desconocido que utiliza inyecciones en formato JSON. Después de ver tantos troyanos usando inyecciones tipo ZeuS, es interesante encontrarse algo así. Actualmente afecta a entidades polacas. El análisis preliminar de las inyecciones nos ha permitido ver que en ciertas entidades se incluye el código necesario para realizar transferencias automáticas (ATS).


La muestra tiene un chequeo que evita que pueda ser ejecutada a partir del 1 de abril de 2015. Esto no quiere decir que a partir de ese día desaparaezca la amenaza, es muy probable que el botmaster envíe una actualización del binario antes de esa fecha. El objetivo de la medida es, probablemente, el limitar la ventana de tiempo en la que las muestras pueden ser analizadas de forma automática en sandboxes. 


Existen indicios de que el autor usó el código fuente de chromium para crear el troyano al cual hemos decidido bautizar como Slave.


Uno de los nombres con los que se ha distribuido el troyano es Faktura V_388_02_20_2015.doc.scr lo cual parece indicar que al menos una de las vías de distribución del malware con las campañas de spam.

Algunos hashes:
1a621d205e984f92a42e00dd250e4ca0
3bd78217be4e455c107f81543de51bf0
50fc29042f8c54d99a6ec3dfd82b40e0
400fbcaaac9b50becbe91ea891c25d71
ced7970f13c40448895967d4c47843e0
fab771fb164e54c6982b7eb7ba685500

En un futuro, y una vez hayamos analizado las inyecciones en detalle, actualizaremos el blog para mostrar cómo funciona el módulo ATS de las mismas.

Para más información, puede ponerse en contacto con nosotros: blog [at] s21sec.com

S21sec Ecrime

El retorno de Stuxnet

No es realmente cierto que el virus Stuxnet pueda volver a penetrar en un sistema de control y provocar un ataque como hizo ya hace 5 años; pero hace un mes se ha conocido que una de las vulnerabilidades que aprovechaba este virus sigue existiendo, y que afecta a los sistemas Windows.

Pongamos en antecedentes. Hace ya unos años os contamos en este post y este otro cuál era el funcionamiento de Stuxnet a bajo nivel y cómo se aprovechaba de las vulnerabilidades. Básicamente el virus entró en el sistema a través de una memoria USB infectando un equipo y a partir de ahí se extendió a diferentes equipos y dispositivos de la red de control.

El funcionamiento de la vulnerabilidad ahora redescubierta es sencillo, se aprovecha de la carga de ficheros de iconos (.cpl) por ficheros de enlaces (.lnk) para ejecutar código arbitrario. Los ficheros de iconos funcionan como dlls, haciéndose una carga dinámica de ellos.

Supuestamente Microsoft solucionó la vulnerabilidad con un parche de seguridad publicado en el verano de 2010, o eso se pensaba. El problema es que este parche no soluciona el problema, así lo han demostrado a principios de éste 2015 técnicos de Kaspersky Labs, y los sistemas llevan conviviendo con la vulnerabilidad durante 4 años pensando que ya estaba solucionada. Microsoft ha publicado un nuevo parche de seguridad para solucionar esta vulnerabilidad, esperemos que esta vez hayan acertado.

Podéis encontrar más información leyendo esta noticia.

Jairo Alonso Ortiz
IACS&SCADA Security Researcher

CARBANAK APT: Ciberataque dirigido a cajeros (ATM)

En octubre de 2014, una investigación de la organización policial internacional Interpol alertó de un nuevo tipo de malware bancario denominado Tyupkin, que facilitaba a los criminales la obtención de control completo sobre los cajeros automáticos, permitiéndoles el robo de importantes cantidades de dinero en efectivo sin necesidad de uso de tarjetas de crédito o débito (para más información puede consultar nuestro blog post).

Lejos de ser un caso aislado, recientes eventos muestran un aumento de los ataques basados en malware dirigidos al entorno de cajeros automáticos, con una variedad de vectores de ataques que comparten un objetivo, el robo del dinero almacenado en efectivo, atacando directamente al banco sin necesidad de involucrar a los clientes.

El último incidente que ha atraido el interés de la industria es el denominado Carbanak APT (también conocido como Anunak), un sofisticado cibertatque que afecta a entidades financieras en más de 30 países con una pérdidas acumuladas cercanas a los mil millones de dólares.

El vector de ataque consiste en el compromiso de la red de la víctima mediante el envío de emails de spear phishing que permitían la descarga del código malicioso que a posteriori se propagaba por sistemas críticos.

Habiendo infectado a usuarios clave, los atacantes les espiaban para obtener un conocimiento detallado de las herramientas y procedimientos de trabajo internos, posibilitándoles copiar estos procedimientos para llevar a cabo sus actividades fraudulentas sin ser detectados por las contramedidas de seguridad del banco.

Aunque los cibercriminales utilizaron múltiples rutas, una de las más relevantes fue el control de la red de cajeros automáticos.

Control de una red de cajeros con  Carbanak

Una vez que la APT  Carbanak comprometía satisfactoriamente la red de la víctima, los atacantes ganaban acceso a la infraestructura de gestión de la red de cajeros infectando esos sistemas con su propio malware.


Campaña masiva de Dalexis + CTB-Locker

Campaña

En los últimos días se ha detectado una campaña masiva de SPAM en la que está siendo distribuido el downloader conocido como Dalexis. Debajo de estás lineas se puede apreciar una captura de pantalla de uno de los correos fraudulentos:




Los archivos adjuntos al correo de spam son ficheros comprimidos con extensiones .zip o .cab. En su interior contienen un archivo .scr que una vez ejecutado mostrará uno de los siguientes documentos:


  • Documento 1


  • Documento 2



  • Documento 3


Este downloader está vinculado al Ransomware CTB-Locker. Este cripto malware  se caracteriza por cifrar entre otras las siguientes extensiones de archivos: pdf, xls, ppt, txt, py, wb2, jpg, odb, dbf, md, js, pl, etc.

Así mismo es capaz de cifrar aquellas unidades de disco que estén mapeadas y sean accesibles como unidades locales.



Una vez cifrados los archivos la siguiente nota de rescate será mostrada:


Esta nota se mostrará dependiendo de la localización de la víctima en uno de los siguientes idiomas: francés, inglés, italiano, alemán y holandés. Los criminales han añadido información para guiar a la víctima en los pasos para realizar el pago del rescate




La descarga del ransomware se hace mediante un a petición a la red TOR (The Onion Router) con el fin de ocultar el contenido de la comunicación e impedir la inspección de los paquetes, esta petición se hace mediante una pasarela por lo que a simple vista parece una sesión de TLS normal.
El fichero descargado está a su vez cifrado siendo el downloader responsable de descifrarlo y lanzarlo a ejecución.

Hasta el momento hemos identificado los siguientes dominios :

•    hxxp[s]://voigt-its.de/fit/pack.tar.gz
•    hxxp[s]://scolapedia.org/histoiredesarts/pack.tar.gz
•    hxxp[s]://pleiade.asso.fr/piwigotest/pack.tar.gz
•    hxxp[s]://maisondessources.com/assets/pack.tar.gz
•    hxxp[s]://jbmsystem.fr/jb/pack.tar.gz
•    hxxp[s]://breteau-photographe.com/tmp/pack.tar.gz
•    hxxp[s]://www.cpeconsultores.com/tmp/pack.tar.gz
•    hxxp[s]://siestahealthtrack.com/media/pack.tar.gz
•    hxxp[s]://peche-sportive-martinique.com/wp-includes/pack.tar.gz
•    hxxp[s]://microneedle.com/menu_files/pack.tar.gz
•    hxxp[s]://hotel-mas-saint-joseph.com/css/pack.tar.gz
•    hxxp[s]://springtree.cba.pl/modules/cario.tar.gz
•    hxxp[s]://smartoptionsinc.com/data-test/nero.tar.gz
•    hxxp[s]://ppc.cba.pl/cache/nero.tar.gz
•    hxxp[s]://mmadolec.ipower.com/me/cario.tar.gz
•    hxxp[s]://masterbranditalia.com/downloader/cario.tar.gz
•    hxxp[s]://integritysites.net/files/nero.tar.gz
•    hxxp[s]://evalero.com/img/cario.tar.gz
•    hxxp[s]://compassfx.com/OLD/cario.tar.gz
•    hxxp[s]://collection-opus.fr/_gfx/cario.tar.gz
•    hxxp[s]://cargol.cat/IESABP/nero.tar.gz
•    hxxp[s]://bikeceuta.com/templates/nero.tar.gz
•    hxxp[s]://www.lamas.si/picture_library/upupup.tar.gz
•    hxxp[s]://wcicinc.org/flv/dostanes_do_drzky.tar.gz
•    hxxp[s]://thinkonthis.net/style/dostanes_do_drzky.tar.gz
•    hxxp[s]://stmarys-andover.org.uk/audio_files/upupup.tar.gz
•    hxxp[s]://sp107.home.pl/logs/dostanes_do_drzky.tar.gz
•    hxxp[s]://ohayons.com/dostanes_do_drzky.tar.gz
•    hxxp[s]://fotocb.de/php/upupup.tar.gz
•    hxxp[s]://dequinnzangersborne.nl/language/upupup.tar.gz
•    hxxp[s]://dariocasati.it/logs/dostanes_do_drzky.tar.gz
•    hxxp[s]://thomasottogalli.com/webtest/sancho.tar.gz
•    hxxp[s]://ourtrainingacademy.com/LeadingRE/sancho.tar.gz
•    hxxp[s]://m-a-metare.fr/media/sancho.tar.gz
•    hxxp[s]://locamat-antilles.com/memo/sancho.tar.gz
•    hxxp[s]://joefel.com/easyscripts/sancho.tar.gz
•    hxxp[s]://cds-chartreuse.fr/locales/sancho.tar.gz

Recuperación de los archivos infectados:

CTB-Locker usa un algoritmo de cifrado basado en curvas elípticas por lo que se puede considerar lo bastante fuerte como para garantizar que los ficheros no podrán ser recuperados, al menos a corto plazo.

Contramedidas

Como de costumbre la prevención es la mejor contramedida, el no abrir ficheros adjuntos en correos no solicitados y establecer una política adecuada que limite los permisos de los usuarios en las unidades compartidas de red.

Así mismo el impedir que una vez infectado el downloader pueda descargar el binario del ransomware. S21Sec analiza diariamente miles de muestras de malware la información extraída de dichas muestras alimenta el servicio de listas negras y la solución Lookwise Threat Intelligence para la detección de amenazas en la red interna de la organización.

Campaña de TorrentLocker afectando a España e Italia

En los últimos días S21sec ha detectado una campaña de spam centrada en España e Italia con la finalidad de distribuir el malware conocido como TorrentLocker.

TorrentLocker pertenece a la variedad de malware conocida como ransomware, este tipo de amenaza bien bloquea el escritorio o bien cifra los ficheros de las víctimas. En ambos casos los criminales exigen el pago de un rescate a cambio de la liberación del equipo. Este pago se suele exigir en Bitcoins o en otro tipo de divisa digital.

Durante los dos últimos años han aparecido diversas amenazas con similar funcionalidad, tanto para equipos de sobremesa como para teléfonos móviles: CryptoLocker, Reventon, Netra, CryptoWall, Decode@india, TorLocker, Urausy…


El malware

TorrentLocker afecta a sistemas operativos Microsoft Windows y guarda semejanzas, si bien solo superficiales, con el desaparecido CryptoLocker. Este parecido no se trata de una casualidad ya que los creadores de TorrentLocker utilizan el nombre del mucho más conocido ransomware en la nota de extorsión. 



Sin embargo si se examinan ambas implementaciones se pueden ver diferencias sustanciales que hacen patente que no nos encontramos ante la misma amenaza.

El ransomware que nos ocupa cifrará cualquier archivo contenido en unidades de disco mapeadas y que tenga una extensión de las abajo mostradas.



Esto quiere decir que no cifrará las carpetas compartidas a menos que estas se encuentren accesibles como si fueran unidades de disco locales. Así mismo no cifra las particiones de recuperación si estas no son accesibles desde el sistema de ficheros.

Una vez infectado el equipo TorrentLocker establece una sesión TLS con su servidor de comando y control (C&C) en la que este le proporciona la clave con la que se procederá a cifrar los archivos. Si la comunicación con el C&C no se realiza el malware no realizará ninguna acción.

Actualmente se han detectado dos versiones del troyano que se diferencian fundamentalmente en el modo en que los ficheros son cifrados.

Primeras versiones

Las primeras noticias de la versión original de TorrentLocker se tuvieron en agosto del 2014 y la campaña de difusión se centró en Australia con una campaña de Spam suplantando al servicio postal del país.

Esta primera variante utilizaba un algoritmo de cifrado bastante rudimentario que se limitaba a aplicar una mascara XOR con una clave estática. Este algoritmo tan solo cifraba los 2 primeros MB de cada fichero, con lo cual si se disponía de una copia anterior al cifrado del archivo era posible extraer la clave y recuperar el resto de ficheros del sistema usando la siguente herramienta.

Es debido a este cifrado débil por lo que creemos que adoptaron la apariencia de CryptoLocker con la esperanza de que la reputación de éste les ayudara a conseguir que sus víctimas pagaran el rescate.

TorrentLocker AES

A principios del mes de diciembre de 2014 aparece una nueva variante del troyano que pasa a utilizar AES (Advanced Encryption Standard). que al tratarse de un algoritmo de cifrado robusto invalida el método de recuperación de archivos mencionado anteriormente.

En este caso la recuperación de los archivos cifrados pasaría por utilizar herramientas de tipo file carving ya que el malware no elimina los ficheros de forma segura (p. ej. sobreescribiéndolos) por lo que es recomendable evitar el seguir trabajando con el sistema tras la infección y montar el disco del sistema afectado en modo "solo lectura" de cara a intentar recuperar los datos. 

Para más información sobre el malware se puede consultar el análisis original del troyano llevado a cabo por iSHIGHT Partners.

La campaña

La campaña que nos ocupa comenzó a principios de diciembre y permaneció activa hasta el día 5 a las 20:09 (GMT+1) momento en el que los servidores de C&C dejaron de mostrar actividad.

Correos de Spam

Durante la campaña se han usado varios correos con la finalidad de inducir a los usuarios a descargar archivos adjuntos. Si bien no es una aproximación muy sofisticada resulta bastante efectiva. Hemos identificado al menos tres correos "tipo" dirigidos contra usuarios españoles

Correo 1 

Correo 2

Correo 3


Los enlaces servían archivos .zip que, una vez descomprimidos, contenían ejecutables con los siguientes nombres:

   Informe.Pdf_____________________________________________________________.exe
   Perfil.Pdf _____________________________________________________________.exe
   Processing.Pdf_____________________________________________________________.exe
   Mensaje.pdf_____________________________________________________________.exe


De nuevo, los atacantes usan una técnica rudimentaria -pero a juzgar por los resultados efectiva- para ocultar la extensión del archivo.

Impacto por países

Durante el curso de la investigación fuimos capaces de identificar al menos 6.000 víctimas de esta campaña distribuidas de la siguiente manera: 



Como se puede ver, más del 80% de los afectados se encuentran en España e Italia con afectación marginal en otros países. Como nota curiosa, hemos localizado afectados incluso dentro del Estado de la ciudad del Vaticano.

Adicionalmente hemos detectado otra campaña en curso enfocada en Turquía que está utilizando un patrón similar al usado para España e Italia.


Conclusión

Debido a su fácil monetización y la relativa simplicidad de la infraestructura necesaria para darles soporte estamos viendo un incremento en el número de infecciones ocasionadas por las diferentes variedades de ransomware.

En estos casos, la prevención es la mejor herramienta para el usuario ya que como hemos visto puede resultar muy difícil llegar a recuperar los datos una vez cifrados. En redes corporativas es importante limitar el acceso y nivel de privilegios  de los usuarios a las unidades compartidas con el fin de limitar el alcance de estas amenazas.

Dridex aprende un nuevo truco: P2P sobre HTTP



Después de varios meses por fin tenemos una respuesta a la pregunta lanzada por nuestro amigo Roman en este post sobre la saga Cridex/Feodo/Geodo/Dridex. Entonces presenciamos el nacimiento de una nueva versión de de Feodo bautizada como Dridex y hace unos días el departamento de Ecrime de S21Sec detectó una nueva variante de Dridex que incorporaba cambios evidentes.


Mas allá del cifrado de la configuración (previamente esta siempre se encontraba en texto plano), el cambio que inmediatamente capto nuestra atención fue la presencia de una nueva etiqueta dentro del XML intercambiado durante la comunicación del troyano con el panel de control.

La muestra fue detectada por nuestro sistema de seguimiento para la botnet de Dridex cuando este falló en actualizar automáticamente la actualización de los binarios del C&C. Quedamos sorprendidos al comprobar que la versión de este nuevo binario era 2.0.17 (131089), lo que supone un gran salto respecto a actualizaciones anteriores las cuales habían incrementado gradualmente la versión desde 1.0.135 (65671) a 1.0.158 (65694).


En la siguiente imagen se puede apreciar como se hace referencia a la nueva etiqueta dentro en el código de la muestra:


Otro cambio evidente es que la nueva variante ejecuta un servidor de HTTP que se sitúa a al escucha en el puerto 80.

Como se puede comprobar en la captura del Wireshark bajo estas lineas, los nodos usan un esquema básico de autenticación para conectarse.


El bot notifica su existencia al resto de nodos su existencia enviando el siguiente mensaje:



Durante los últimos tres días, todas las peticiones enviadas a esta botnet han resultado en una respuesta vacía. Por ello asumimos que se está utilizando el protocolo de comunicación tanto para la administración como para la actualización de la botnet.

Nos gustaría señalar que la comunicación P2P se realiza sobre HTTP. Solo podemos conjeturar los motivos de los sus desolladores para hacerlo así, pero partimos de la base que no ha sido para incrementar el rendimiento o eficiencia sino para incrementar la resistencia de la botnet ante intentos de cierre e así como incrementar el sigilo de la misma.

Hasta donde hemos podido ver, los ficheros de configuración actualizados afectan a más de 120 entidades en más de 20 paises, incluyendo muchos del Sudeste Asiático, afectando a diversos sectores más allá del bancario tales como: medios digitales, hosting y publicidad online.

Como se puede ver los des arrolladores de malware siguen mejorando su código y añadiendo nuevas funcionalidades para dificultar el cierre y seguimiento de las botnets. Esta vez ha sido Dridex, sin embargo hemos apreciado cambios en otras familias que esperamos discutir en futuras publicaciones




(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login