Autor: Susana B. García para CIBERPRISMA
La historia del malware Bandook nos permite visibilizar la complejidad del ciberespacio, donde actores polimórficos como estados, hackers patrocinados, empresas privadas, cibercriminales, etc, ejecutan campañas de ciberataques a partir de herramientas que se comercializan libremente en la Web. Este entorno multifacético y sin fronteras se presenta como un generador inagotable de riesgos en la segunda mitad del Siglo XXI atento a la la evolución que se viene observando en las Ciberamenazas que amedrentan a ciudadanos y organizaciones de todo el mundo.
Bandook es un troyano de acceso remoto (RAT), escrito en Delphi y C++, cuyo desarrollo se atribuye a un desarrollador de origen libanes denominado PrinceAli. Los primeros incidentes registrados datan de 2007 y siempre se sostuvo que esta variante se encontraba a la venta en foros especializados a un costo relativamente bajo.
Bandook y La Operación «Manul»-Kazajistán
Tras casi una década de ausencia o de silenciosa actividad, en 2016 reaparece en la principal Conferencia de Ciberseguridad de EEUU de la mano de investigadores de EFF (Electronic Frontier Foundation), First Look Media y Amnesty International.
En ese evento presentan el Informe “Operación Manul – una campaña de intimidación, secuestro y malware en Kazajistán”. Esta campaña estaba dirigida a periodistas y disidentes políticos que se encontraban residiendo en Europa y estaban además involucrados en las actuaciones judiciales que se tramitaban en tribunales europeos y norteamericanos contra el gobierno del país de Asia Central. La acusación daba cuenta de los intentos de esa administración por develar la identidad de los administradores de un sitio web anónimo, Kazaword, que había publicado emails sobre casos de corrupción y secuestros de disidentes políticos.
La historia comenzaba en realidad un poco antes, en 2015, cuando el periódico disidente Respublika publicó que el gobierno kazajo había contratado a la empresa suiza ARCANUM Global Intelligence para vigilar y exfiltrar información del disidente Mukhtar Ablyazov, su familia, abogados y periodistas vinculados. Esta información se había obtenido en un sitio web anónimo, Kazaword, que habría publicado información confidencial obtenida luego del ciberataque que afectó al gobierno de Kazajistán. El mismo concluyó con la exfiltración de 70 gigabytes de datos confidenciales. Además Ablyazov, opositor político y ex ministro de energía, industria y comercio, se encontraba en una cárcel francesa con un proceso de extradición a Rusia en trámite.
Malwares Empleados
La ejecución de la operación de espionaje incluía el empleo de dos malware, específicamente Jrat o Jacksbot y Bandook.
Detectado en 2012. Escrito en Java y desarrollado por «RedPoison». Es posible adquirirlo comercialmente por U$D 40. Es de código cerrado pero algunos módulos y otras utilidades son de código abierto y se encuentran disponibles en Github.
Disponible comercialmente desde 2007. Sólo para computadoras con sistema Windows. Primeros indicios de afectación de dispositivos móviles Registra mejoras continuas desde 2014. En 2016 estuvo visible en el sitio malwr.com. Se cree que fue un intento de verificación de técnicas de evasión. Aparece oculto tras iconos de archivos .pdf, Office o Flash Player.
Los investigadores encontraron entre los archivos exfiltrados mediante Bandook capturas de pantalla, grabaciones de webcam y de audio, patrones de búsqueda, creación y borrado de archivos, lista de redes inalámbricas disponibles y de dispositivos MTP (media Transfer protocol), además de monitoreo de dispositivos USB.
El Sinuoso Camino de la Atribución
En el proceso de atribución contribuyó Mediapart, un diario digital francés, con el análisis de los emails publicados en Kazaword. Esta tarea arrojó como resultado la confirmación de la vinculación entre el gobierno kazajo con dos empresas que ofrecían servicios de vigilancia y ciberespionaje. Por un lado ARCANUM Global Intelligence, con sede en Zurich Suiza, había sido contratada para ejecutar la Operación Raptor de vigilancia y exfiltración de datos a disidentes en el extranjero. Ésta a su vez había contratado a Bernard Squarcini, quien fuera Jefe de la Agencia de Inteligencia Nacional francesa (Direction Central de Renseignement Interieur) entre 2007 y 2012, para informar a la administración kazaja sobre los avances de los litigios mencionados.
En segundo lugar la vinculación con la empresa APPIN Security Group de India surge del análisis efectuado a los dominios empleados para comando y control de la Operación Manul. Mediante el empleo de la API de Passive Total se analizaron más de 70 direcciones IP activas entre 2008 y 2016. Posteriormente se confrontó esta información con datos de otros grupos APT y se encontró evidencia coincidente con el actor APPIN. La empresa india especializada en servicios y capacidades ciberofensivas ya había estado involucrada en ciberataques a separatistas punjabíes de India y a la empresa de telecomunicaciones Telnor de Noruega, además de otras empresas en lo que se conoció como Operación Hangover, según denunciara Norman Shark en 2013.
El resultado de este segundo análisis demostró que dos de los 110 dominios empleados en la Operación Hangover, se superponían con dominios empleados en la Operación Manul. Este dato en particular permitía suponer que alguien estaba ofreciendo realizar operaciones de ciberespionaje bajo la modalidad MaaS (Malware como Servicio), lo que explicaba que se hubieran ejecutado múltiples operaciones contra diferentes blancos de manera simultánea. Y si bien la operación no se caracterizaba por la sofisticación, ya que todo comenzaba con Spearphishing (phishing dirigido), sin duda la elección de un malware comercializado por menos de 50 dólares en la Dark Web había resultado una decisión efectiva.
(En nuestra sección "Recursos Online para seguir aprendiendo" encontrarás el Link a la Presentación de Black Hat Conference 2016)
Bandook y el APT Dark Caracal – Líbano
En 2018 se hace público el Informe «Dark Caracal – Ciberespionaje a Escala Global» realizado por EFF (Electronic Frontier Foundation) y Lookout, cuya relevancia no es menor dado que se lo reconoce como el primer informe público sobre las tareas de ciberespionaje llevadas a cabo por un actor APT (Advanced Persistent Threat).
En un escenario internacional que agitaba las banderas de ciberguerra, con varios países anunciando el desarrollo de capacidades ofensivas para el ciberespacio, este nuevo Informe intentaba demostrar cómo un país sin un arsenal sofisticado podía desplegar operaciones de ciberespionaje a nivel global. Asimismo traza una línea de evolución entre la Operación Manul y las campañas de espionaje global del Grupo Dark Caracal.
Desde 2012 a 2018 Dark Caracal había ejecutado varias campañas en paralelo que compartían la misma infraestructura de la Op. Manul. El grupo desplegaba, tras la compra de herramientas no sofisticadas en la Dark Web, una cadena de ataque típica de las operaciones de ciberespionaje: análisis de redes sociales, phishing o spearphishing y acceso físico para comprometer los sistemas, los dispositivos y las cuentas de las víctimas. El vector primario de ataque eran los dispositivos móviles aunque también hallaron evidencias de herramientas para pc de escritorio.
En 2017 habían ejecutado seis campañas en simultáneo y concentrado la mayor cantidad de datos exfiltrados (81 Gigabytes; 48 de Android y 33 de Windows) en un servidor de comando y control que operaba en el dominio adobeair.net. El Grupo no sólo almacenaba allí los datos exfiltrados de sus víctimas sino también algunas de sus herramientas como la máscara del App. Store de Android para engañar a sus víctimas. En el dominio adobeair.net operan también gran parte de los servidores provistos por Shinjiru Hosting. Esta empresa es un proveedor de hosting (alojamiento web) con sede en Kuala Lumpur, Malasia, que está activo desde fines de la década del 90 y ofrece prestaciones con elevados estándares de protección de sus clientes y acepta el pago en criptomonedas por sus servicios.
Durante estas campañas obtuvo cientos de gigabytes de datos mediante el empleo de tres herramientas, un spyware a medida Pallas para Android, el spyware FinFisher que utilizan las agencias de seguridad y el Troyano de acceso remoto Bandook. Los blancos, según los investigadores se correspondían con individuos y organizaciones que podrían ser objetivo de interés de un estado; entre ellos, los sectores gubernamentales, militares, financieros y las empresas contratistas del sector de la defensa.
El informe consigna cerca de 100 indicadores de compromiso (IoC) en dispositivos de víctimas de más de 21 países en EEUU, Europa, Medio Oriente y Asia: 11 IoC asociados a malware para Android; 26 IoC para PC de escritorio con sistemas Windows, Mac y Linux y más de 60 con base IP/dominio.
Atribuir las campañas a Dark Caracal fue difícil porque el actor emplea múltiples tipos de malware y la misma infraestructura es utilizada por diferentes grupos.
EFF/LOOKOUT
Sin embargo, a pesar de esta afirmación, los investigadores construyeron la atribución de los ciberataques al Grupo Dark Caracal en base al análisis de lo que definieron como «dispositivos de prueba» que habrían sido utilizados por el grupo y a las redes wifi, concluyendo que los mismos estaban asociados a una ubicación que parecía coincidir con un edificio que podría pertenecer a la Dirección General de Seguridad General del Líbano, en Beirut. El mismo se encontraría ubicado a dos cuadras de este organismo.
(En nuestra sección "Recursos online para seguir aprendiendo" encontrarás el Link al Informe de EFF/LOOKOUT sobre Dark Caracal)
Bandook reaparece en 2020
En noviembre 2020 Check Point Research informó que había detectado una serie de nuevas campañas de ciberataques ejecutadas contra víctimas en diferentes países. Los diferentes sectores atacados incluyen instituciones gubernamentales, financieras, energéticas, alimentarias, sanitarias, educativas e informáticas ubicadas en Chile, Chipre, Alemania, Indonesia, Italia, Singapur, Suiza, Turquía y Estados Unidos.
El protagonista: el malware Bandook. Basados en la variedad de blancos atacados así como la diversidad de sus ubicaciones, los investigadores concluyeron que Bandook era parte de una infraestructura ofensiva que era ofrecida comercialmente por un tercero no identificado a gobiernos y ciberdelincuentes para llevar a cabo operaciones ciber ofensivas.
El informe incluye la descripción de una cadena de ataque en tres fases:
- Fase 1: se envía a la víctima un documento de Microsoft Word infectado dentro de un archivo .zip. Una vez abierto, descarga macros maliciosas que habilitan la fase siguiente.
- Fase 2: Se ejecutan una secuencia cifrada de comandos PowerShell
- Fase 3: Los comandos PowerShell descargan partes ejecutables codificadas desde servicios de almacenamiento en la nube como Dropbox o Bitbucket para ensamblar el instalador del malware Bandook, inyectándolo en un nuevo proceso de Internet Explorer.
Bandook RAT posee todas las capacidades típicamente asociadas con los backdoors, ya que establece contacto con un servidor controlado de forma remota para recibir comandos adicionales que van desde tomar capturas de pantalla hasta realizar varias operaciones relacionadas con archivos.
La nueva variante de Bandook es una versión reducida del malware con soporte para solo 11 comandos, mientras que las versiones anteriores presentaban hasta 120 comandos, lo que permitiría sugiere la intención de los operadores de reducir la huella del malware con la finalidad de evadir la detección contra objetivos de alto perfil. Los investigadores no sólo consignan que se utilizaron certificados válidos emitidos por Certum para firmar esta versión abreviada del ejecutable de malware, sino que también descubrieron dos muestras más, variantes completas, firmadas digitalmente y sin firmar, que creen que son operadas y vendidas por una sola entidad.
Conclusiones
La historia del malware Bandook tiene condimentos suficientes como para entender el ciclo evolutivo que pueden desarrollar las Ciberamenazas. Los análisis de los especialistas, más allá de lo controvertido que nos pueda resultar el proceso de atribución, permiten afirmar que en sus versiones actuales podrían tener varias capacidades diferentes y se les podrían asignar diversos objetivos. Tomar el control de una computadora para forzar la extracción de criptomonedas o de un dispositivo móvil para espiar al usuario y robar datos confidenciales son sólo algunas de las formas muy probables de utilizar una amenaza como Bandook. Sin olvidar la cantidad de criptovirus ransomware que se pueden distribuir con la asistencia de un troyano…
Aunque no destaque por su capacidad de daño, el grupo que se esconde detrás de la infraestructura de estos ciberataques ha demostrado la intención de innovar e incorporar mejoras de forma periódica, mediante la adición de varias capas de seguridad, certificados válidos y otras técnicas, para evitar ser detectados…
CHECKPOINT RESEARCH LAB
Fuentes:
- https://thediplomat.com/2016/08/kazakhstan-hacks-back-operation-manul-and-astanas-pursuit-of-dissidents/
- https://es.hostadvice.com/hosting-company/shinjiru-international-reviews/
- https://www.intelligenceonline.com/corporate-intelligence/2015/02/25/arcanum-caught-up-in-kazakh-intrigues,108063585-art
- https://research.checkpoint.com/2020/bandook-signed-delivered/
- https://www.eff.org/wp/operation-manul
- https://summarynetworks.com/securite-des-reseaux-informatique-et-telecom/digitally-signed-bandook-malware-once-again-targets-multiple-sectors/
- https://www.theatlantic.com/technology/archive/2018/01/lebanon-hacking-subscription/551009/
Ciberprisma - alianza por la ciberseguridad 