La búsqueda del origen de los APTs: un ataque de hace 20 años que sigue siendo relevante

Los investigadores de Kaspersky Lab y Kings College London, en su búsqueda de un vínculo entre el agente de una amenaza moderna y los ataques de Moonlight Maze dirigidos al Pentágono, la NASA y otras organizaciones a finales de los 90, han desenterrado muestras, registros y artefactos pertenecientes a esa antigua amenaza persistente avanzada (APT, por sus siglas en inglés). Los resultados muestran que una puerta trasera utilizada en 1998 por Moonlight Maze para desviar la información de las redes de sus víctimas, se conecta a una puerta trasera utilizada por Turla en 2011 y posiblemente ahora en 2017. Si se demuestra el vínculo entre Turla y Moonlight Maze, colocaría al autor de dicha amenaza junto al Equation Group en lo que se refiere a su longevidad, ya que algunos de los servidores de comando y control de Equation se remontan a 1996.

Informes contemporáneos acerca de Moonlight Maze muestran cómo, a partir de 1996, las redes militares y gubernamentales de Estados Unidos, así como universidades, instituciones de investigación e incluso el Departamento de Energía, comenzaron a detectar fallos en sus sistemas. En 1998, el FBI y el Departamento de Defensa iniciaron una investigación masiva. Lo acontecido se hizo público en 1999, pero gran parte de la evidencia se ha mantenido clasificada, dejando los detalles de Moonlight Maze ocultos en el mito y el secreto.

A lo largo de los años, investigadores provenientes de tres países distintos han declarado que Moonlight Maze evolucionó a Turla, un autor de amenazas de habla rusa también conocido como Snake, Uroburos, Venomous Bear y Krypton. Tradicionalmente se cree que Turla ha estado activo desde 2007.

Las ‘muestras almacenadas’

En el año 2016, mientras investigaba su libro, Rise of the Machines, Thomas Rid, de Kings College London, rastreó a un antiguo administrador de sistemas de una organización cuyo servidor había sido secuestrado como proxy por los atacantes detrás de Moonlight Maze. Este servidor, 'HRTest', se había utilizado para lanzar ataques contra Estados Unidos. El ahora retirado profesional de TI había conservado el servidor original y copias de todo lo relacionado con los ataques, lo que entregó a Kings College y Kaspersky Lab para su posterior análisis.

Los investigadores de Kaspersky Lab, Juan Andrés Guerrero-Saade y Costin Raiu, junto con Thomas Rid y Danny Moore de Kings College, pasaron nueve meses realizando un análisis técnico detallado de estas muestras. Estos investigadores reconstruyeron las operaciones, herramientas y técnicas de los atacantes y realizaron una investigación paralela para ver si podían probar la supuesta conexión con Turla.

Moonlight Maze era un ataque de código abierto basado en Unix, dirigido a sistemas Solaris y los resultados muestran que utilizó una puerta trasera basada en LOKI2 (un programa emitido en 1996 que permite a los usuarios extraer datos a través de canales encubiertos). Esto llevó a los investigadores a echarle un segundo vistazo a algunas muestras raras de Linux utilizadas por Turla que Kaspersky Lab había descubierto en 2014. Nombradas Penquin Turla, estas muestras también se basan en LOKI2. Además, el nuevo análisis mostró que todas ellas utilizan código creado entre 1999 y 2004.

Sorprendentemente, este código sigue siendo utilizado en ataques. Fue descubierto en 2011 en un ataque contra el contratista de defensa Ruag in Suiza, que se ha atribuido a Turla. Luego, en marzo de 2017, los investigadores de Kaspersky Lab descubrieron una nueva muestra de la puerta trasera de Penquin Turla enviada desde un sistema en Alemania. Es posible que Turla use el código antiguo para ataques a entidades altamente seguras, que podrían ser más difíciles de violar usando su conjunto de herramientas de Windows más comunes.

“A finales de los 90, nadie previó el alcance y la persistencia de una campaña coordinada de ciberespionaje. Tenemos que preguntarnos por qué es que los atacantes todavía pueden aprovechar con éxito el código antiguo en ataques modernos. El análisis de las muestras de Moonlight Maze no es sólo un estudio arqueológico; también es un recordatorio de que los adversarios con buenos recursos no desaparecen; nos toca a nosotros defender los sistemas con habilidades equiparables”, dijo Juan Andrés Guerrero-Saade, Investigador Sénior de Seguridad del Equipo de Investigación y Análisis Global de Kaspersky Lab.

Los nuevos archivos desenterrados de Moonlight Maze revelan muchos detalles fascinantes sobre cómo se llevaron a cabo los ataques con una compleja red de proxys y el alto nivel de habilidades y herramientas utilizadas por los atacantes.

Puede encontrar un video con información sobre la secuencia del ataque y la tipología aquí: https://youtu.be/9RorL9y70GU 

Para más información, por favor ingrese a nuestro blog en Securelist.com.

Los productos de Kaspersky Lab detectan y bloquean exitosamente el malware utilizado por Moonlight Maze y Penguin Turla.

Detalles de los registros y secuencias de órdenes de las muestras almacenadas, así como de los indicadores de fallos y funciones hash para ayudar a las organizaciones a buscar rastros de estos grupos de ataque en sus redes corporativas, pueden consultarse aquí: https://securelist.com/blog/sas/77883/penquins-moonlit-maze 

Los clientes del servicio de informes de Inteligencia sobre APTs de Kaspersky Lab disponen de información detallada sobre las amenazas y los agentes de amenazas más recientes. Más información aquí.