Un silencioso 'malware' espía persigue a las empresas energéticas

Como si de un mercado legal se tratara, cada poco tiempo aparecen nuevas técnicas y estilos de ataque en el mundo del malware. Esta vez, los investigadores de la empresa SentinelOne han descubierto un nuevo tipo de malware que dirige sus ataques hacia empresas energéticas.

El programa, apodado “Furtim’s Parent” (el padre de Furtim, traducido al español), está diseñado para descargar e instalar componentes y herramientas adicionales de malware. Según las investigaciones de la startup de ciberseguridad SentinelOne, el programa se lanzó en mayo por atacantes financiados desde algún gobierno.

El objetivo de este malware es preparar el terreno para otros softwares maliciosos que puedan realizar labores más específicas; para ello, el malware intenta pasar desapercibido, de manera que vaya accediendo a mayores privilegios que puedan desactivar las diferentes protecciones del sistema.

Cuando al  principio se ejecuta en el equipo, el malware es capaz de poner a prueba el entorno de las máquinas virtuales, de los programas antivirus, de los sandboxes… en definitiva, un escaneado de lo que podría suponer un problema para una ciberataque. Son pruebas extensivas que incluyen incluso comprobar las listas negras de la dirección de CPU peligrosas, los directorios, los procesos que se están llevando a cabo, el disco duro de información… nada queda sin tocar.

En algunos casos, cuando el software malicioso es detectado, este está programado para controlarse a sí mismo de manera que limite sus actividades, y, si se topa con un programa antivirus, intentar desactivarlo.

La profundidad y complejidad de estos exámenes sugieren que los creadores del malware tienen un gran conocimiento de Windows y sus productos de seguridad, por lo que los investigadores señalan que se trata del trabajo de varios experimentados desarrolladores con acceso a importantes recursos.

El código malicioso no se instala como un archivo normal en el disco, si no como flujos alternativos de datos (ADS) de archivos NTFS (utilizados para almacenar metainformación); empieza a funcionar en el inicio del sistema de computación y emplea API no documentadas de Windows de bajo nivel para poder hacer un bypass al detector de comportamiento sospechoso (que suelen emplear los productos de ciberseguridad).

“El uso de órdenes de subrutina de forma indirecta hace que sea casi imposible llevar a cabo un análisis manual estático, mientras que un análisis dinámico manual también es demasiado problemático”, han comentado al respecto los investigadores de SentinelOne. “El autor ha tenido especial cuidado para que este malware pueda pasar desapercibido tanto tiempo como sea posible”.

El software malicioso emplea dos tipos de exploits de escalación de privilegios Windows: uno que ya se solucionó en 2014 y otro corregido en 2015, además de servirse de una conocida técnica de bypass llamada control del usuario de cuenta (UAC por sus siglas en inglés) que concede privilegios de administrador.

Si se consigue finalmente el acceso, el malware añade el usuario que está utilizando al grupo de administradores, por lo que no levanta sospechas al evitar utilizar varias cuentas. Una vez instalado, el software desactiva silenciosamente la protección de las capas de productos antivirus y secuestra el sistema de configuración DNS, para evitar el acceso de los servidores antivirus que quieran introducir una nueva actualización.

De esta forma el terreno ya está preparado para descargar y ejecutar la siguiente fase, con una nueva carga dañina que, en algunos casos, se dedica a recolectar información y reenviarla al servidor remoto que controla el malware.

Las empresas de producción y distribución de energía son un objetivo muy atractivo para ciberataques “esponsorizados” por gobiernos, ya que sus sistemas pueden ser utilizados potencialmente para causar un gran daño físico a un país. De hecho, esto es lo que sucedió en Ucrania el diciembre pasado, cuando unos hackers usaron malware para causar apagones generalizados.