Symantec vio la primera evidencia de actividad relacionada con Sowbug con el descubrimiento en marzo de 2017 de un malware completamente nuevo llamado “Felismus” utilizado contra un objetivo en el Sudeste Asiático.
Posteriormente, identificamos más víctimas en ambos lados del Océano Pacífico. Si bien la herramienta Felismus se identificó por primera vez en marzo de este año, su asociación con Sowbug era desconocida hasta ahora. Symantec también ha podido conectar campañas de ataque anteriores con Sowbug, lo que demuestra que ha estado activo desde principios de 2015 y puede haber estado operando incluso antes.
Hasta la fecha, Sowbug parece enfocarse principalmente en entidades gubernamentales en América del Sur y el Sudeste Asiático y se ha infiltrado en organizaciones en Argentina, Brasil, Ecuador, Perú, Brunei y Malasia. El grupo tiene muchos recursos, es capaz de infiltrarse en múltiples objetivos simultáneamente y a menudo operará fuera de los horarios de trabajo de las oficinas que son el target con el fin de mantener un bajo perfil.
Intromisiones altamente dirigidas
Algunas pistas sobre la motivación y los intereses de los atacantes se pueden encontrar en las actividades realizadas después de comprometer a las víctimas. Por ejemplo, en un ataque de 2015 contra un ministerio de relaciones exteriores sudamericano, el grupo parecía estar buscando información muy específica. La primera evidencia de su intromisión data del 6 de mayo de 2015, pero la actividad pareció haber comenzado en serio el día 12 de mayo. Los atacantes parecían estar interesados en la división del ministerio responsable de las relaciones con la región Asia-Pacífico.
Intentaron extraer todos los documentos de Word almacenados en un servidor de archivos perteneciente a esta división al agruparlos en un archivo RAR ejecutando el siguiente comando:
cmd.exe /c c:\windows\rar.exe a -m5 -r -ta20150511000000 -v3072 c:\recycler\[REDACTED].rar "\\[REDACTED]\*.docx" \\[REDACTED]\*.doc. Curiosamente, el comando especificó que solo los archivos modificados desde el 11 de mayo 2015 en adelante debían archivarse. Los atacantes parecen haber extraído el archivo con éxito porque una hora más tarde regresaron, esta vez intentando extraer todos los documentos modificados a partir del 7 de mayo de 2015, un valor adicional de cuatro días de datos. Posiblemente, o bien no encontraron lo que estaban buscando en la incursión inicial, o bien notaron algo en los documentos que robaron antes que los impulsó a buscar más información.
Los atacantes no se detuvieron allí.
El siguiente paso fue enumerar las unidades compartidas remotas y luego intentar acceder a los recursos compartidos remotos pertenecientes a la oficina gubernamental específica a la que apuntaban, una vez más intentando extraer todos los documentos de Word. En este caso, buscaron cualquier documento modificado a partir del 9 de mayo. Los atacantes entonces parecieron ampliar su interés, enumerando los contenidos de varios directorios en acciones remotas, incluso uno que pertenece a otra división del Ministerio de Asuntos Exteriores Sudamericano, este responsable de las relaciones con organizaciones internacionales. También desplegaron dos cargas útiles desconocidas en el servidor infectado. En total, los atacantes mantuvieron una presencia en la red del objetivo durante cuatro meses entre mayo y septiembre de 2015.
Recorrido de la red: Mantener un perfil bajo
Sowbug con frecuencia mantiene una presencia a largo plazo en las redes de organizaciones específicas, algunas veces permaneciendo dentro del dispositivo de las víctimas hasta por seis meses. Una de las tácticas que utiliza para evitar llamar la atención es hacerse pasar por los paquetes de software comúnmente utilizados, como Windows o Adobe Reader. Nunca ha intentado comprometer el software en sí. Más bien, les da a sus herramientas nombres de archivo similares a los utilizados por el software y los coloca en el árbol de directorios que podrían confundirse con los utilizados por el software legítimo. Esto permite que los atacantes puedan esconderse a plena vista, ya que es poco probable que su aparición en las listas de procesos despierte sospechas.
Por ejemplo, en septiembre de 2016, Sowbug se infiltró en una organización en Asia, introduciendo a Felismus por las puertas traseras en una de sus computadoras, la computadora A, usando el nombre de archivo adobecms.exe en CSIDL_WINDOWS \ debug. A partir de ahí, instaló componentes y herramientas adicionales en un directorio llamado CSIDL_APPDATA \ microsoft \ security.
Luego, los atacantes comenzaron a realizar actividades de reconocimiento en la computadora A, a través de cmd.exe, recopilando información relacionada con el sistema, como la versión del sistema operativo, la configuración del hardware y la información de la red. Luego realizaron un reconocimiento adicional, intentando identificar todas las aplicaciones instaladas en la computadora. Regresaron cuatro días después, creando un subdirectorio llamado "común" en el directorio de Adobe de la carpeta Archivos de programa, es decir, c: \ Archivos de programa \ Adobe \ común, e instalaron otra herramienta en este subdirectorio, nuevamente llamada adobecms. exe. Esta fue posiblemente una versión actualizada de las puertas traseras.
El reconocimiento de la red de atacantes pareció ser exitoso porque se identificó y comprometió una segunda computadora de interés en la organización. Los atacantes luego regresaron a la computadora A, instalando otro ejecutable llamado fb.exe. Parece que este archivo se usa para copiar Felismus a través de la red a otras computadoras y existe evidencia de que los atacantes lo usaron para intentar infectar al menos dos computadoras más.
Los atacantes tomaron medidas adicionales para permanecer bajo el radar llevando a cabo sus operaciones fuera del horario de oficina. En este caso, los atacantes mantuvieron una presencia en la red del objetivo durante casi seis meses entre septiembre de 2016 y marzo de 2017.
Vectores de infección
No se sabe cómo Sowbug realiza su infiltración inicial en la red de un objetivo. En algunos casos, no había rastro de cómo Felismus llegó a las computadoras comprometidas, lo que significa que probablemente se implementó desde otras computadoras que se encontraban comprometidas en la red. En otros ataques, hubo pruebas de que Felismus se instaló utilizando una herramienta conocida como Starloader (detectada por Symantec como Trojan.Starloader). Este es un cargador que instala y descifra datos de un archivo llamado Stars.jpg. Además, se observó que Starloader implementaba herramientas adicionales utilizadas por los atacantes, como los dumpers de credenciales de usuario y los registradores de pulsaciones de teclas.
Todavía no se sabe cómo Starloader está instalado en la computadora comprometida. Una posibilidad es que los atacantes usen actualizaciones de software falsas para instalar archivos. Symantec ha encontrado pruebas de que los archivos de Starloader se llaman AdobeUpdate.exe, AcrobatUpdate.exe e INTELUPDATE.EXE, entre otros. Estos se usaron para crear versiones de las puertas traseras de Felismus y otras herramientas.
Amenaza global
Si bien los ataques de ciberespionaje a menudo se observan contra objetivos en los Estados Unidos, Europa y Asia, es mucho menos común ver a los países de América del Sur como objetivos. Sin embargo, el número de operaciones activas de ciberespionaje ha aumentado constantemente en los últimos años y el surgimiento de Sowbug es un recordatorio de que ninguna región es inmune a este tipo de amenazas.