GreyEnergy: uno de los actores maliciosos más peligrosos cuenta con un arsenal actualizado

Una investigación de ESET revela la presencia del sucesor del grupo APT de BlackEnergy apuntando a infraestructuras críticas; muy probable en la etapa previa a la realización de un ataque.

Una reciente investigación de ESET reveló nuevos detalles del sucesor del grupo BlackEnergy APT, cuya principal herramienta fue vista por última vez en diciembre de 2015 cuando, por primera vez en la historia, un ciberataque se encargó de provocar un corte de energía. Sobre la fecha del incidente, cuando unas 230.000 personas se quedaron sin electricidad, comenzamos a detectar otra infraestructura de malware a la que llamamos GreyEnergy. Desde entonces, se ha utilizado para atacar a empresas de energía, así como a otros objetivos de ataque de alto valor en países como Ucrania y Polonia durante los últimos tres años.

Es importante aclarar que cuando nos referimos a “grupos APT” establecemos conexiones en base a indicadores técnicos, tales como similitudes de código, infraestructura compartida de C&C, cadenas de ejecución de malware, entre otras características. En general, no estamos directamente involucrados en la investigación e identificación de quienes desarrollan malware y/o implementan o interactúan con ellos. Dado que el término "grupo APT" suele estar más asociado con los indicadores de malware mencionados anteriormente y se usa con frecuencia simplemente para categorizar, quedamos al margen de la especulación con respecto a la atribución de los ataques a países o gobiernos.

Ya hemos documentado de manera extensiva la evolución de este malicioso actor llamado TeleBots; como fueron los ciberataques dirigidos hacia blancos de ataque de gran valor en el sector financiero de Ukrainano, los ataques a la cadena siverimento contra Ukraina, y también en nuestro análisis sobre un sofisticado backdoor de TeleBots. Todo esto es obra de este grupo conocido principalmente por el brote del ransomware NotPetya. Al mismo tiempo, también hemos estado siguiendo los pasos de GreyEnergy, un subgrupo que opera en paralelo, pero que de alguna manera tiene diferentes motivaciones y apunta a diferentes objetivos de ataque.

A pesar de que los datos provenientes de la telemetría de ESET muestran actividad del malware GrayEnergy durante los últimos tres años, hasta ahora no se ha documentado nada sobre este grupo de APT. Probablemente esto se deba a que estas actividades no han tenido un carácter destructivo, a diferencia de las numerosas campañas de ransomware del grupo TeleBots (no solo NotPetya), el ataque a la red eléctrica realizado por BlackEnergy, y el apagón causado por Industroyer – el cual hemos asociado a este grupo por primera vez la semana pasada. En cambio, los actores maliciosos detrás de GreyEnergy han tratado de mantenerse alejados de los radares, centrándose en el espionaje y el reconocimiento, muy probablemente como parte de la etapa de preparación para un futuro ataque o preparando el terreno para una operación en la que se ejecuta otra herramienta maliciosa del grupo.

La estructura del malware GrayEnergy presenta muchas similitudes con BlackEnergy, como se describe a continuación. Presenta una construcción modular similar, con lo cual su funcionalidad depende de la particular combinación de módulos que cobra su operador por cada uno de los sistemas de sus víctimas. Los módulos que hemos observado fueron utilizados para propósitos de espionaje y reconocimiento (es decir: puerta trasera, extracción de archivos, realización de capturas de pantalla, registro de teclas, robo de contraseña y credenciales, etc). No hemos observado ningún módulo que spécially haya apuntado Sistemas de Control Industrial (ICS, por sus siglas en inglés). Sin embargo, hemos observado que los operadores de GreyEnergy han estado estádriángo estratégicamente a estaciones de trabajo de Sistemas de Control Industrial que corren el software SCADA y severidos, los cuales tienden a ser sistemas esenciales que nunca se desconectan, excepto para tareas de mantenimiento.

Vínculos entre BlackEnergy y Telebots

A continuación se presentan algunas de las razones por las que los investigadores de ESET consideran que existe una relación entre BlackEnergy y GreyEnergy:

  • La aparición activa de GreyEnergy coincide con la desaparición de BlackEnergy
  • Al menos una de las víctimas afectadas por GrayEnergy fue afectada por BlackEnergy en el pasado. Ambos subgrupos comparten interés en el sector de la energía y las infraestructuras críticas. Ambos han tenido víctimas principalmente en Ucrania y en segundo lugar en Polonia.
  • Existen fuertes similitudes arquitectónicas entre la estructura de ambos malware. Ambos son modulares y los dos emplean un "mini" o suave backdoor, el cual es desplegado antes de que se obtengan los permisos de administrador y en una etapa previa que la versión completa se desplegada.
  • Todos los servidores C&C remotos utilizados por el malware GreyEnergy fueron retransmisiones activas de Tor. Este es también el caso de BlackEnergy e Industroyer. Tenemos la hipótesis de que esta es una técnica operativa de seguridad utilizada por el grupo para que los operadores puedan conectarse a estos servidos de manera encubierta.

A diferencia de BlackEnergy, GreyEnergy es un conjunto de herramientas más moderno que incluso presenta un mejor enfoque en términos de seguridad. En este sentido, una técnica básica para evitar ser detectado (utilizada por ambas familias) es empujar los módulos seleccionados hacia los espacios en blanco seleccionados y solo cuando sea necesario. Además de eso, algunos de los módulos de GrayEnergy están parcialmente encriptados usando AES-256 y algunos permanecen sin archivos (ejecutándose solo en la memoria) con la intención de dificultar el análisis y la detección. Para evitar ser rastreados, los operadores de GreyEnergy generalmente limpian los componentes de malware del disco duro de la víctima de manera segura.

Además de las similitudes mencionadas con BlackEnergy, hemos observado otro vínculo entre GreyEnergy y este subgrupo de TeleBots. En diciembre de 2016, notamos una instancia de GreyEnergy implementando una versión anterior del gusano NotPetya de TeleBots: medio año antes, había sido alterado, mejorado e implementado en los brotes de ransomware más dañinos de la historia. Existe una reutilización de código importante entre este componente de ransomware y el módulo principal de GreyEnergy. Llamamos a esta primera versión "Moonraker Petya", según el nombre de archivo elegido por quienes escribieron el malware, probablemente una referencia a la película de James Bond. Además, no presentaba el infame mecanismo de propagación de EternalBlue, pues no había sido filtrado hasta ese momento.

Tácticas, técnicas y procedimientos de GreyEnergy

Hemos observado dos vectores de infección distintos, que son: medios de phishing "tradicionales" y compromisos de servicio público. Cuando uno de esos servidores web vulnerable está lojado internamente y conectado con el resto de la red de una organización apointada, el atacante intentará moverse lateralmente hacia otras estaciones de trabajo. Esta técnica se utiliza no solo como un vector iniciador de infección, sino también como un respaldo para un vector de reinfección.

Los atacantes generalmente despliegan proxies C&C internos dentro de la red de la víctima. Este proxy de C&C redirige las solicitudes que se originan en los nodos infectados dentro de la red a un servidor externo de C&C en Internet. Esta es otra táctica para mantenerse alejado de los radares de detección, porque es menos sospechoso para un defensor ver que varias computadoras están “hablando” con un servidor interno, lo que hacen con uno remoto.

Algo curioso y que es indicativo de los blancos elegidos por el grupo, es que algunas de las muestras de GreyEnergy que hemos dectado estabanadas con un certificado de Advantech; un fabricante de hardware Industrial e iOT de Taiwán. Estos parecen haber sido robados de la compañía, tal como en el caso de Stuxnet y en la reciente campaña maliciosa del malware Plead.

Los operadores de GreyEnergy también utilizan herramientas externas comunes como parte de su arsenal, como Mimikatz, PsExec, WinExe, Nmap y un escáner de puertos personalizado.

Por un análisis más detallado del conjunto de herramientas de GreyEnergy y sus operaciones pueden encontrar más información en nuestro white paper en inglés, GreyEnergy: A sucesor to BlackEnergy. Puede encontrar una lista completa de indicadores de compromiso (IoC) y muestras en GitHub. Por cualquier consulta o para el envío de una muestra relacionada con el tema, por favor comuníquese con nosotros a través de la siguiente dirección de correo: [email protected].

Para más información sobre cómo estar protegido puede visitar nuestro sitio web y conocer más acerca de GreyEnergy.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!