PDF de programación - Análisis de un kit de herramientas para espionaje cibernético - Operacion Potao Express

Operación
Potao
Express

Análisis de un kit de
herramientas para espionaje
cibernético

Robert Lipovsky, Anton
Cherepanov

30/07/2015





Resumen ejecutivo
El whitepaper Operación Potao Express presenta los últimos descubrimientos de ESET basados en sus
investigaciones de la familia de malware Win32/Potao. Si bien ESET y algunas otras empresas antivirus detectaron
el malware hace ya bastante tiempo, la amenaza no ha vuelto a recibir la atención del público desde 2011,
cuando se detectaron las primeras muestras conocidas.

Al igual que BlackEnergy (alias Sandworm, Quedagh), Potao es un ejemplo de malware de espionaje dirigido
(amenazas persistentes avanzadas o APT, por sus siglas en inglés) detectado sobre todo en Ucrania y otros países
de la CEI, incluyendo Rusia, Georgia y Bielorrusia.

Entre las víctimas que logramos identificar, los objetivos más notables por su alto valor incluyen el gobierno
ucraniano, entidades militares ucranianas y una de las agencias de noticias más importantes de Ucrania. También
se descubrió que este mismo malware se usaba para espiar a miembros de la cooperativa MMM, una pirámide
financiera muy popular en Rusia y Ucrania.

Uno de los descubrimientos más interesantes que hicimos durante la investigación y el análisis de Potao fue su
conexión con una versión rusa del popular software de cifrado de código abierto TrueCrypt, ahora ya en desuso.
El sitio Web truecryptrussia.ru ha estado entregando una versión de la aplicación TrueCrypt localizada en idioma
ruso que, en algunos casos específicos, también contiene un backdoor. La versión de la aplicación con el troyano
incorporado solo se entrega a ciertas víctimas seleccionadas. Esto indica que los operadores del malware buscan
objetivos de ataque específicos (el ataque es dirigido) y, a su vez, es una de las razones por la cual el backdoor
pasó desapercibido por tanto tiempo. Además de alojar la aplicación TrueCrypt con el troyano, el dominio
también actuaba como servidor de C&C (Comando y Control) para el backdoor. La conexión con Potao radica en el
hecho de que Win32/Potao en algunos casos se descargó con el nombre de Win32/FakeTC (el nombre de
detección de ESET para el software de cifrado que tiene el troyano incorporado).

Este paper también proporciona detalles técnicos sobre la familia de malware Win32/Potao y sus mecanismos de
propagación, y describe las campañas de ataques más notables.



Página 1 de 41





Introducción
El presente informe abarca una gran cantidad de ataques1 que tuvieron lugar durante los últimos 5 años. Las
campañas (aparentemente) sin relación entre sí, se llevaron a cabo con la familia de malware Win32/Potao. Al
igual que BlackEnergy (la familia de malware utilizada por el grupo Sandworm), el malware Potao es un kit de
herramientas modular universal para el espionaje cibernético. Los ataques donde se empleó fueron ataques
dirigidos (APT), pero también hubo varios casos en los que detectamos la presencia del troyano en campañas de
propagación masiva.

Los países que se vieron más afectados por Potao (una familia de malware cuyo origen probablemente sea ruso)
son Ucrania, Rusia y Georgia, con ciertos objetivos de gran valor financiero.

Nuestro paper incluye una línea de tiempo de las diversas campañas realizadas, cuyo foco principal son los
vectores de propagación, y luego suministra un análisis técnico del troyano Win32/Potao. También analizamos a
Win32/FakeTC, una versión troyanizada del popular software de cifrado de código abierto TrueCrypt. Finalmente,
la lista de indicadores de sistemas comprometidos detalla los hashes de archivos maliciosos, los nombres de
dominio y las direcciones IP de los servidores de C&C.



1 El título del presente whitepaper, Operación Potao Express, proviene de la familia de malware Win32/Potao: el
denominador común de todos los ataques cibernéticos descritos y de todos los sitios Web utilizados en las campañas de
servicio postal.



Página 2 de 41





Contenido
Resumen ejecutivo ....................................................................................................................................................... 1

Introducción ................................................................................................................................................................. 2

Línea de tiempo de los ataques .................................................................................................................................... 5

Campañas de 2011 ................................................................................................................................................... 6

Las campañas MMM ................................................................................................................................................. 8

Invitación a una boda en Georgia ........................................................................................................................... 10

Cambio de foco a Ucrania ....................................................................................................................................... 11

Campañas de servicio postal .................................................................................................................................. 11

Ataques contra el gobierno y la milicia ucranianos ................................................................................................ 17

TrueCrypt Russia ..................................................................................................................................................... 18

Campaña georgiana ................................................................................................................................................ 19

Win32/Potao: análisis técnico .................................................................................................................................... 21

Vectores de infección y persistencia ...................................................................................................................... 22

Win32/Potao: Arquitectura .................................................................................................................................... 24

Información general sobre los complementos ....................................................................................................... 24

Protocolo de comunicación con el servidor de C&C .............................................................................................. 26

Propagación a través de unidades USB .................................................................................................................. 30

Técnicas de ingeniería anti-reversa de Win32/Potao ............................................................................................ 30

Win32/FakeTC: Análisis del software TrueCrypt falso ............................................................................................... 32

Conclusión .................................................................................................................................................................. 34

Apéndice A: Comparación con BlackEnergy (el troyano utilizado por el grupo Sandworm/Quedagh) ..................... 35

Apéndice B: Detalle de las muestras obtenidas de Win32/Potao y campañas .......................................................... 36

Apéndice C: Indicadores de sistemas comprometidos ............................................................................................... 37

Hashes SHA1: .......................................................................................................................................................... 37

Primeras versiones de Potao: ............................................................................................................................. 37

Versiones de depuración: ................................................................................................................................... 38

Droppers con documentos señuelo: .................................................................................................................. 38

Droppers provenientes de sitios Web de servicio postal: .................................................................................. 38

Propagadores por USB: ....................................................................................................................................... 38

Otros droppers: .................................................................................................................................................. 39

Complementos: .................................................................................................................................................. 39

Configuración de aplicación TrueCrypt falsa: ..................................................................................................... 39

Muestra de archivo ejecutable TrueCrypt falso: ................................................................................................ 39

Nombres de dominio: ............................................................................................................................................. 40



Página 3 de 41



Direcciones IP y servidores de C&C: ....................................................................................................................... 40



Página 4 de 41







Línea de tiempo de los ataques
La familia de malware Potao no es nueva: se vio por primera vez en ataques realizados durante 2011. Una de las
razones por las que no se publicó ninguna investigación exhaustiva has