The Mask/Careto: APT de ciberespionaje que involucra diarios argentinos y españoles

El equipo de investigación de seguridad Kaspersky acaba de publicar los detalles sobre la APT latina "The Mask" (aka "Careto") [PDF], una operación de propagación de malware para realizar ciberespionaje.

Los investigadores dijeron que The Mask es una herramienta de espionaje de Estado extremadamente sofisticada y modular y creen que ha estado operando desde el año 2007. Al igual que Duqu, Flame y Gauss esta es una operación excepcionalmente refinada, compuesta por herramientas modulares que al parecer fueron desarrolladas por programadores latinos y/o españoles.

En los ejecutables hay varias cadenas en español, incluyendo la muy reveladora clave de cifrado Caguen1aMar. La lista de dominios de phishing usados en los correos electrónicos contiene principalmente diarios españoles. Además, la mayoría de las víctimas tienen IP de España, de países hispanohablantes, de Francia o de Marruecos. También es llamativa la presencia de Gibraltar. Bruce Schneier especula con que todo esto apunta a España como fuente del malware.

Lo que hace especial al malware es la complejidad de las herramientas utilizadas por los atacantes. Incluye un programa malicioso extremadamente sofisticado, un rootkit, un bootkit, versiones de 32 y 64 bits de Windows, Mac OS X y Linux y posiblemente versiones para iPad/iPhone (Apple iOS) y Android.

Los objetivos principales de malware son instituciones gubernamentales, oficinas diplomáticas, embajadas, compañías de energía, petróleo y de gas, instituciones de investigación, firmas de capital privado y activistas de alto perfil.

Las víctimas son infectadas por correos electrónicos de phishing vinculado a subdominios que simulan sitios de Washington Post, The Guardian, YouTube, iProfesional y El País, entre otros.

Países afectados

El informe contabiliza 380 víctimas entre más de 1.000 IPs de Argelia, Argentina, Bélgica, Bolivia, Brasil, China, Colombia, Costa Rica, Cuba, Egipto, Francia, Alemania, Gibraltar, Guatemala, Irán, Irak, Libia, Malasia, México, Marruecos, Noruega, Pakistán, Polonia, Sudáfrica, España, Suiza, Túnez, Turquía, el Reino Unido, Estados Unidos y Venezuela. Las IP en América Latina son:

• hxxps://wwnav.selfip.net/cgi-bin/commcgi.cgi 190.105.232.46 Argentina, Buenos Aires, "Nicolas Chiarini"
• hxxps://nthost.shacknet.nu/cgi-bin/index.cgi 190.105.232.46 Argentina, Buenos Aires, "Nicolas Chiarini"
• hxxps://196.40.84.94/num Costa Rica, San Jose, "Servicio Colocation Racsa"
• hxxps://redirserver.net/num 196.40.84.94, 190.10.9.209 Costa Rica, San Jose, "Servicio Colocation Racsa"

Por otro lado, las URL falsas de los diarios de América Latina y España son los siguientes:

• negocios.iprofesional.linkconf[dot]net/
• www.internacional.elpais.linkconf[dot]net/
• politica.elpais.linkconf[dot]net/
• cultura.elpais.linkconf[dot]net/
• economia.elpais.linkconf[dot]net/
• sociedad.elpais.linkconf[dot]net/
• internacional.elpais.linkconf[dot]net/
• elpais.linkconf[dot]net/
• www.elespectador.linkconf[dot]net/
• www.elmundo.linkconf[dot]net/
• www.publico.linkconf[dot]net/

Como sus antecesores, "The Mask" recoge una larga lista de documentos en el sistema infectado, incluyendo las claves de cifrado, configuraciones VPN, claves SSH, PGP, y archivos RDP. También hay varias extensiones desconocidas siendo monitoreadas y que no ha sido identificadas si bien se piensa que "podrían estar relacionadas con herramientas de cifrado de nivel militar/gobierno personalizado".

Los archivos recolectados por el malware son:

AKF, ASC, AXX, CFD, CFE, CRT, DOC, DOCX, EML, ENC, GMG, *.GPG, *.HSE, KEY, M15, M2F, M2O, M2R, MLS, OCFS, OCU, ODS, ODT, OVPN, P7C, P7M, P7Z, PAB, PDF, PGP, PKR, PPK, PSW, PXL, RDP, RTF, SDC, SDW, SKR, SSH, SXC, SXW, VSD, WAB, WPD, WPS, WRD, XLS, XLSX

En su presentación "Una mirada detrás de la máscara", los investigadores Costin Raiu, Vitaly Kamluk y Igor Soumenkov explican que la complejidad y la universalidad de las herramientas utilizadas por los atacantes detrás de The Mask le ayuda a ganar un lugar en la historia del malware.

Cómo se expandía

A través de correos específicos, que intentaban que la víctima visitase una web. Una vez visitada, se redirigía a una página que contenía los exploits. Se intentaban aprovechar diferentes vulnerabilidades en el navegador y sus componentes (cómo no, Java principalmente), intentando ejecutar código de forma transparente. Hasta aquí, como cualquier otro. Luego la víctima era redirigida a páginas falsas de periódicos en subdominios tipo elpais.linkconf.net, www.publico.linkconf.net, y subdominos de tercer nivel con nombres de secciones de los periódicos.

Lo realmente interesante es que usaban un exploit especial: CVE-2012-0773. Una ejecución en código en Flash. Fue el primer exploit conocido capaz de eludir la sandbox de Chrome. Lo hizo VUPEN para ganar el concurso "pwn2own" hace dos años. Pero los ganadores no dieron detalles del exploit. VUPEN es una "controvertida" empresa que vive de crear exploit y venderlos a gobiernos para el espionaje.

¿Un malware con fecha de caducidad?

Como el buen malware sofisticado, muchos ficheros que componían el malware estaban firmados criptográficamente. En este caso, por TecSytem Ltd (supuestamente de Sofia, Bulgaria). Lo curioso es que no se tiene la certeza de si es una compañía legítima o no, aunque el certificado sea válido y firmado por Verisign. Se han observado dos certificados en el malware; uno válido de desde el 28 de junio de 2011 al 28 de junio de 2013. Otro válido desde el 18 de abril de 2013 al 18 de julio de 2016. Curiosamente, la firma de los ficheros, según se deduce de la imagen de Kaspersky, no se encuentran contrafirmada (no tiene timestamping).

Cómo se escondía

Una de las técnicas es muy interesante. El malware conseguía registrarse como un módulo COM (ECD4FC4D-521C-11D0-B792-00A0C90312E1, relacionado con el Explorer de Windows), suplantándolo. Todo proceso que pidiera este componente, quedaba "infectado" con el malware inyectando una DLL. Desde ahí, conseguía hacerse pasar a su vez por una DLL conocida, elegida entre un conjunto de nombres legítimos.

Esto significa que a efectos prácticos, a un investigador que observara las DLL cargadas por un proceso le aparecían nombres de DLL y rutas "habituales" del sistema. Pero lo que ocurría es que el malware había conseguido reemplazar en memoria alguna de ellas. Esto es muy novedoso, porque normalmente el malware común se carga como DLL en un proceso, pero sin cuidar su nombre o ruta.

Este componente del malware, hookeaba entonces el creador de procesos y se enganchaba al navegador, actuando ligeramente distinto si se lanzaba iexplore.exe, firefox.exe, opera.exe, netscape o chrome.exe, pero infectándolos a todos. También se enganchaba a nombres como emule.exe.

Más información

• http://www.kaspersky.com/about/news/virus/2014/Kaspersky-Lab-Uncovers-The-Mask-One-of-the-Most-Advanced-Global-Cyber-espionage-Operations-to-Date-Due-to-the-Complexity-of-the-Toolset-Used-by-the-Attackers
• http://www.securelist.com/en/downloads/vlpdfs/unveilingthemask_v1.0.pdf
• http://www.securelist.com/en/blog/208216078/The_Careto_Mask_APT_Frequently_Asked_Questions
• http://www.zdnet.com/washington-post-guardian-links-used-to-infect-the-mask-malware-victims-7000026153/
• https://www.schneier.com/blog/archives/2014/02/the_mask_espion.html
• http://threatpost.com/new-mask-apt-campaign-called-most-sophisticated-yet/104148
• http://arstechnica.com/security/2014/02/meet-mask-posssibly-the-most-sophisticated-malware-campaign-ever-seen/
• http://www.wired.com/threatlevel/2014/02/mask/ 
• http://blog.elevenpaths.com/2014/02/careto-mask-la-ciber-arma-posiblemente.html

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín