Operación RetroHack

Preparaos para revivir la era de las camisas de franela y las riñoneras: un grupo de ciberdelincuentes autodenominado APT-HomeAlone, ha anunciado su plan para catapultar al mundo entero de regreso a los años 90 esta Nochevieja.

Mediante una serie de complejas ciberoperaciones, estos piratas informáticos pretenden reprogramar todos los dispositivos electrónicos para que, al sonar las doce campanadas, nos encontremos en el 1 de enero de 1990. Imagínate intentar publicar en Instagram tus fotos de Nochevieja y encontrarte buscando un módem para conectarte a Terra, Infovia, Ya.com, Wanadoo…

Estos hábiles delincuentes utilizan métodos avanzados, incluyendo “Retro-Infiltración de Sistemas” y “Manipulación Temporal de Redes”. Para ello han desarrollado un software llamado “BackToThe90s.exe”, capaz de transformar interfaces modernas a versiones que recuerden a Windows 95, con sus icónicos fondos de escritorio y sonidos de inicio.

[Read more…]

(Cyber) Guerra Fría IV: Irán

En el post de hoy continuamos con nuestra saga de (Cyber) Guerra Fría en la que para esta cuarta entrada nos situamos en Irán, un país de actualidad.

Contexto geoestratégico y político

Geoestratégicamente es destacable la rivalidad histórica latente entre Irán y Arabía Saudita que muchos asemejan a lo que fuera la Guerra Fría entre Estados Unidos y la (ex)Unión Soviética. Como en muchas rivalidades en esta zona del mundo, las diferencias religiosas juegan un factor crucial (Irán es mayoritaríamente chiíta y Arabia Saudita sunita), y a ésto hay que sumarle que ambos paises se encuentran enfrascados en una lucha por el dominio regional del territorio intentando hacerse con un control sobre un corredor terrestre hacia el Mediterráneo. Además hay añadir la inestabilidad política que se generó en la región a raíz de la Primavera Árabe y por supuesto los intereses en la zona de las grandes potencias y demás tensiones socio políticas . Tal y como se observa en el mapa, Arabía Saudita estaría apoyada por los países marcados y contaría con el apoyo de USA e Israel.

Recientemente Irán ha saltado a la palestra por la retirada por parte del gobierno de Trump del  acuerdo nuclear JCPOA (Joint Comprehensive Plan of Action), acuerdo por el que Irán se comprometía a limitar su polémico programa de energía atómica y a cambio se le levantarían las sanciones económicas impuestas, se le permitía reanudar sus exportaciones de petróleo a mercados internacionales y -entre otras muchas acciones- retomar el uso del sistema financiero de comercio global. Tras la ruptura con este acuerdo nos encontramos ante una situación de previsible presión económica contra Irán y algunos investigadores ya apuntan a que en los próximos meses veremos represalias por parte de Irán contra Occidente, incluidas operaciones ofensivas en el ciberespacio.
[Read more…]

Miners, miners everywhere!

Es evidente que las criptomonedas están de moda. El incremento del precio de, por ejemplo, el Bitcoin con respecto al año pasado es exponencial, tal y como se aprecia en la siguiente gráfica de Coinbase:

Todo el mundo, incluidos los ciberdelincuentes, quieren sacar tajada de este hype, y hemos detectado que, así como el incremento del precio del Bitcoin o de Monero (muy utilizada en el cibercrimen) ha sido exponencial, también lo ha sido la actividad de ataques en relación a la distribución de miners que pretenden comprometer equipos y hacerse con nuestra electricidad gratis.

En lo que va de año hemos detectado una tendencia en alza de distribuir miners. A través de una técnica concreta, utilizan vulnerabilidades en los procesos inseguros de “deserialización” de objetos Java para, tras explotarlas, descargar y ejecutar el miner en el equipo o servidor comprometido. Estas vulnerabilidades, a pesar de no ser nuevas, están intentando ser explotadas por numerosos grupos de delincuentes. [Read more…]

Módulo Radare2 para Yara

Desde el equipo de YaraRules Project nos gustaría presentaros un nuevo módulo que hemos desarrollado que permite utilizar la información que nos provee radare2 para crear firmas de Yara.

Ya hemos hablado en este blog de Yara (potente herramienta open-source para búsqueda de patrones en binarios) que además, nos permite ampliar sus funcionalidades a través del uso de módulos, bien usando los ya oficialmente distribuidos (PE, ELF, Cuckoo, Math, etc), bien diseñando nuestros propios módulos (como explica muy bien aquí la documentación de Yara).

Por otro lado, todos los que conocemos radare2 sabemos que es un framework de reversing muy versátil, open-source, y que entre otras muchas funcionalidades, nos permite obtener mucha información de un binario y además soporta tantos tipos de formatos de ficheros (ELF, Java Class, Mach-O, COFF, Gameboy, Nintendo Switch bins, SNES roms, WASM, Compiled LUA, PCAP files, etc.), que resulta difícil encontrar otra herramienta de estas características que lo haga.
[Read more…]

Petya / NotPetya, esa es la cuestión

Si hace poco más de un mes el mundo quedaba suspendido por el ataque del ransomware WannaCry, la historia se ha vuelto a repetir.

Poco después del mediodía de ayer llegaban las primeras informaciones acerca de la posible infección de varias empresas y organismos gubernamentales por una variante del ransomware Petya. Entre los países más afectados se encuentran Ucrania, Rusia, Polonia o Italia, aunque todo apunta a que empresas españolas también han resultado afectadas.
[Read more…]

Yara Rules Strings: estudio estadístico

Como todos los usuarios de Yara saben, las firmas de esta herramienta están basadas en “strings”; que son básicamente descripciones de familias de malware basadas en patrones. Es posible encontrarnos con firmas sencillas como por ejemplo:

rule LIGHTDART_APT1
{
    meta:
        author = "AlienVault Labs"
        info = "CommentCrew-threat-apt1"
        
    strings:
        $s1 = "ret.log" wide ascii
        $s2 = "Microsoft Internet Explorer 6.0" wide ascii
        $s3 = "szURL Fail" wide ascii
        $s4 = "szURL Successfully" wide ascii
        $s5 = "%s&sdate=%04ld-%02ld-%02ld" wide ascii

    condition:
        all of them
}

O firmas más complejas en las que se usan wild-cards, expresiones regulares, operadores especiales o cualquier otra de las funcionalidades que se pueden usar en Yara y que se pueden consultar en la documentación.
[Read more…]

Pongamos que hablo de Madrid

Me he propuesto ser muy previsora a la hora de viajar a otra ciudad/país, así que para prepararme ante mi nuevo destino lo primero que haré será buscar información sobre el mismo. Pongamos que hablo de Madrid -que diría Sabina- como el próximo lugar al que viajaré…

Podría empezar por buscar qué dice la prensa sobre Madrid. Seguro que googleando un poco no nos costará ponernos al día de la actualidad de lo que sucede en la ciudad. Siguiendo con Google, podríamos consultar https://www.google.es/trends/ para ver qué está buscando la gente sobre Madrid (en esta última hora por ejemplo las tendencias son las siguientes):

Tendencias Madrid
[Read more…]

(Cyber) Guerra Fría III: ¿Hack the vote?

Recientemente el DHS (Department of Homeland Security) junto la ODNI (Office of the Director of National Intelligence) han acusado formalmente a Rusia de entrometerse en las próximas elecciones presidenciales con técnicas de la tan candente guerra de la información y diversos ciberataques.

No es la primera vez que USA lanza acusaciones de este calibre, ya lo hizo también cuando acusó a China de robo de secretos industriales en 2014. Una acusación de este tipo podría implicar -de forma ¿oficial? o no oficial- ataques a infraestructuras informáticas rusas que supusieran un dolor de cabeza para Putin y sus aliados. Según declaraciones en el NYT tomar este tipo de acciones conllevarían demasiado riesgo con las elecciones a menos de un mes; ciberataques por parte de una potencia como Rusia contra el sistema de voto electrónico norteamericano podría sembrar el caos. Hay que destacar además que dicho sistema electoral aún no se considera una infraestructura crítica de la nación, aunque es posible que aumente su criticidad en breve.
[Read more…]

(Cyber) Guerra Fría II: Grupo Sofacy

Continuamos con nuestros artículos sobre ciberguerra, ampliando información sobre un grupo de supuesta procedencia rusa del que ya hablamos en la primera entrada de la saga, Sofacy, conocido también por varios alias como vemos en la tabla a continuación:

img1

Alineado con intereses rusos, y activo al menos desde el 2004-2007, Sofacy es un grupo de ciberespionaje que centra su actividad principalmente en operaciones de ataques dirigidos (APT) a objetivos gubernamentales, militares y organismos de seguridad, especialmente aquellos que sean de interés para Rusia: gobiernos y defensa de Europa del Este, la región del Cáucaso, OTAN, contratistas de defensa estadounidenses, SAIC, etc.

[Read more…]

APT Grupo Ke3Chang

Es evidente que las misiones diplomáticas, incluyendo los Ministerios de Asuntos Exteriores de los Estados son objetivos de alta prioridad en las operaciones de ciberespionaje de hoy en día. Campañas de ataques dirigidos como “GhostNet” o las llevadas a cabo por el grupo Ke3Chang (supuestamente financiado por China) -que será el objeto de este artículo- así lo demuestran.

En diciembre de 2013, Fireeye publicó una campaña de ciberespionaje denominada “moviestar” llevada a cabo por un grupo conocido por “Ke3Chang”, centrada en comprometer las redes de los Ministerios de Asuntos Exteriores en Europa, cuya atribución apuntaba a China y que, al menos llevaban activos desde 2010. Utilizaron como vía de entrada spear-phishing con el gancho de ofrecer información sobre los últimos acontecimientos en Siria. En concreto, parece ser que los correos dirigidos comenzaron en agosto de 2013, un mes antes de la Cumbre del G-20 de San Peterburgo en la que el principal foco del cónclave fue la situación en Siria.

[Read more…]