Hace poco, la empresa de seguridad Mandiant descubrió que un grupo desconocidos de hackers (al cual ellos denominan UNC3524). Según información suministrada por la compañía, la banda de ciberdelincuentes estuvieron los últimos 18 meses introduciéndose en las redes de las víctimas con un sigilo inusual.
¿Cómo ocurrió esto?
Tal parece que atacantes utilizaron una técnica de primera clase, a través de una puerta trasera y una ingeniera de software tan novedosa que les permitió crear una red de bots de espionajes casi invisibles en diversas redes afectadas. Igualmente, se dio conocer que, una vez que la red de bots es expulsada, inmediatamente utiliza el entorno de las víctimas para reinfectar todo y retomar “el trabajo” donde lo dejó.
Estas son las presuntas claves del hackeo:
El uso de una puerta trasera única que Mandiant denomina Quietexit, que se ejecuta en balanceadores de carga, controladores de puntos de acceso inalámbricos y otros tipos de dispositivos IoT que no admiten antivirus o detección de puntos finales. Esto dificulta la detección por medios tradicionales.
Versiones personalizadas del backdoor que utilizan nombres de archivos y fechas de creación similares a los archivos legítimos utilizados en un dispositivo infectado específico.
Un enfoque de "vivir en la tierra" que favorece las interfaces y herramientas de programación comunes de Windows sobre el código personalizado con el objetivo de dejar una huella lo más ligera posible.
Una forma inusual de que un backdoor de segunda etapa se conecte a la infraestructura controlada por el atacante, actuando esencialmente como un servidor cifrado por TLS que proxy los datos a través del protocolo SOCKS.
Investigadores de Madiant señalaron lo siguiente por medio de un post:
A lo largo de sus operaciones, el actor de la amenaza demostró una sofisticada seguridad operativa que sólo vemos demostrar a un pequeño número de actores de la amenaza. El atacante evadió la detección operando desde dispositivos en los puntos ciegos del entorno de la víctima, incluyendo servidores que ejecutaban versiones poco comunes de Linux y dispositivos de red que ejecutaban sistemas operativos opacos. Estos dispositivos y aparatos ejecutaban versiones de sistemas operativos que no eran compatibles con las herramientas de seguridad basadas en agentes y a menudo tenían un nivel esperado de tráfico de red que permitía a los atacantes pasar desapercibidos. El uso del tunelador QUIETEXIT por parte del actor de la amenaza les permitió vivir en gran medida del terreno, sin la necesidad de traer herramientas adicionales, reduciendo aún más la oportunidad de detección. Esto permitió que UNC3524 permaneciera sin ser detectado en los entornos de las víctimas durante, en algunos casos, más de 18 meses.
Así lo reseñaron: Doug Bienstock, Melissa Derr, Josh Madeley, Tyler McLellan y Chris Gardner.
De este modo, el túnel SOCKS permitió que los hackers conectaran de exitosamentesus servidores de control a la red de la víctima y allí podían ejecutar herramientas sin dejar rastros en ninguno de los ordenadores de las víctimas.
Un backdoor secundario proporcionaba un medio alternativo de acceso a las redes infectadas. Se basaba en una versión de la webshell legítima reGeorg que había sido fuertemente ofuscada para dificultar su detección. El actor de la amenaza la utilizaba en caso de que la puerta trasera principal dejara de funcionar. Los investigadores explicaron:
Una vez dentro del entorno de la víctima, el actor de la amenaza dedicó tiempo a identificar los servidores web en el entorno de la víctima y se aseguró de encontrar uno que fuera accesible desde Internet antes de copiar REGEORG en él. También se encargó de nombrar el archivo para que se mezclara con la aplicación que se ejecutaba en el servidor comprometido. Mandiant también observó casos en los que UNC3452 utilizó el "timestomping" (refiriéndose a una herramienta disponible aquí para borrar o modificar la información relacionada con las marcas de tiempo de los archivos) para alterar las marcas de tiempo de la información estándar del shell web de REGEORG para que coincidieran con otros archivos del mismo directorio. Una de las formas en que los hackers mantienen un perfil bajo es favoreciendo los protocolos estándar de Windows sobre el malware para moverse lateralmente. Para desplazarse a los sistemas de interés, UNC3524 utilizó una versión personalizada de WMIEXEC, una herramienta que utiliza Windows Management Instrumentation para establecer un shell en el sistema remoto.
Finalmente, Quietexit ejecuta su objetivo final: acceder a las cuentas de correo electrónico de los ejecutivos y del personal de TI con la esperanza de obtener documentos relacionados con aspectos como el desarrollo corporativo, las fusiones y adquisiciones y las grandes transacciones financieras.
"Una vez que UNC3524 obtuvo con éxito las credenciales privilegiadas para el entorno de correo de la víctima, comenzó a hacer solicitudes de API de Exchange Web Services (EWS), ya sea en el entorno local de Microsoft Exchange o Microsoft 365 Exchange Online", escribieron los investigadores de Mandiant. "En cada uno de los entornos de las víctimas de UNC3524, el actor de la amenaza se dirigía a un subconjunto de buzones."
Una APT no muy común
La infraestructura de mando y control de Quietexit es una de las más complejas que se recuerdan. En muchos casos, los servidores operados por el atacante a los que se conectaban las máquinas infectadas eran sistemas de cámaras de salas de conferencias heredados por Lifesize o al menos en un caso, D-Link, en el que habían sido infectados con el componente de servidor de Quietexit. La siguiente imagen muestra cómo un dispositivo Windows infectado con la versión cliente de Quietexit se conectaba a una cámara, un router u otro dispositivo IoT que se había convertido en un servidor de comando y control:
También es notable el esfuerzo adicional que el actor de la amenaza puso en la obtención de nombres de dominio de servidores de control que fueron elegidos en base a las características específicas de su entorno de red.
"Observamos que UNC3524 utilizaba dominios C2 que pretendían mezclarse con el tráfico legítimo procedente de los dispositivos infectados", explicaron los investigadores. "Utilizando el ejemplo de un equilibrador de carga infectado, los dominios C2 contenían cadenas que podían relacionarse de forma plausible con el proveedor del dispositivo y el nombre del sistema operativo de la marca. Este nivel de planificación demuestra que UNC3524 entiende los procesos de respuesta a incidentes y trató de hacer que su tráfico C2 pareciera legítimo a cualquiera que pudiera desplazarse por los registros de DNS o de sesión."
Las técnicas y el método de trabajar de UNC3524 se ocultan al igual que las de los dos grupos de hackers rusos conocidos como APT28 /Fancy Bear y APT29/ Cozy Bear. Es así como Quietexit posee una táctica que utiliza múltiples credenciales para moverse lateralmente. En algún momento también fue utilizada por Fancy Bear durante la campaña de violación de SolarWinds.
Por último, Mandiant no logró vincular de forma concluyente a UNC3524 con ninguno de los dos grupos, ni con ningún otro conocido.