RESUMEN

Debido al comienzo de las hostilidades, entre Ucrania y Rusia, el dominio afectado del ciberespacio ha despertado el interés de todas las organizaciones, a lo largo del mundo. En esta dimensión del entorno operativo de la seguridad, algunas organizaciones como Curated Intelligence han ido identificando diferentes elementos que se han ido desgranando en ciberataques, filtraciones y nuevas familias de malware que se hayan visto implicadas en las ciberoperaciones identificadas en Ucrania [1].

En esta publicación, se comentará una línea temporal de los incidentes de seguridad de mayor relevancia, así como se desarrollará un análisis de malware de SunSeed, un descargador empleando que atribuye con mediana confianza a la actividad de intrusión conocida como GhostWriter/UNC1151/TA445, que está apuntando contra objetivos europeos que estén ocupándose de gestiones logísticas de acogida de refugiados ucranianos [2].

Palabras clave: HermeticWiper, Sunseed, Ucrania, wiper, ransomware, ciberespacio

TOMÁNDOLE LA TEMPERATURA AL CONFLICTO

Desde el inicio de la escalada bélica entre Rusia y Ucrania, que ha sido marcado en el tiempo el día 24 de febrero de 2022, la actividad en el ciberespacio ha aumentado considerablemente.

Aunque las ciberataques y campañas han crecido en cantidad y virulencia, desde el Euromaidán [3], cuya crisis comenzó en el año 2013 y desembocó en una población ucraniana dividida entre la integración con la Unión Europea y una asociación con Rusia, desembocando en tensiones separatistas y la intervención rusa, las operaciones cibernéticas en el ciberespacio ucraniano han sido constantes.  

Gracias a la colaboración del centro de análisis de amenazas de Equinix, Inc., proveedor de infraestructura centros de datos y proveedor de conexión a Internet ubicado en Estados Unidos, se han obtenido recursos gráficos que han ayudado a describir líneas temporales de ciberoperaciones rusas contra Ucrania [4] y los participantes en esta ciberguerra [5].

Ucrania-RUsia ciberguerra

Russia-Ukraine Cybewar Participants. Fuente: EQUINIX ETAC

La línea temporal descrita por (ETAC)TM identifica los siguientes eventos, hasta el día 27 de febrero:

    • 14 de enero de 2022: Defacements contra sitios web.
    • 15 de enero de 2022: El wiper WhisperGate es desplegado contra objetivos ucranianos.
    • 31 de enero de 2022: Se detectan campañas desde Crimea, orquestadas por el FSB (organización sucesora del KGB) (aka Gamaredon).
    • 2 de febrero de 2022: UAC-0056 emplea SaintBot y OutSteel malware (aka EmberBear.
    • 15 de febrero de 2022: Ataques DDoS contra bancos y entidades gubernamentales ucranianas, junto a una campaña propagandística por SMS.
    • 23 de febrero de 2022: Militares ucranianos reciben SMS amenazantes, como parte de una campaña de operaciones psicológicas.
    • 23 de febrero de 2022: UK NCSC comparte un análisis de una nueva familia de malware del Sandworm team: CyclopsBlink.
    • 24 de febrero: HermeticWiper y ransomware señuelo son desplegados contra infraestructura de telecomunicaciones del gobierno ucraniano.
    • 24 de febrero: El usuario “FreeCivilian” filtra bases de datos del gobierno ucraniano.
    • 25 de febrero de 2022: Se detectan campañas asociadas al ministerio de Defensa de Bielorrusia (aka GhostWriter).
    • 25 de febrero: Múltiples ataques DDoS de botnets que se disponen a atacar sitios web de negocios y del gobierno, ubicados en Ucrania.
    • 25 de febrero de 2022: El grupo de cibercriminales Conti, conocido por su ransomware, ofrece su alianza al estado ruso.
    • 26 de febrero de 2022: El vice primer ministro de Ucrania crea una “Armada IT de Ucrania” para atacar objetivos de la infraestructura de telecomunicaciones rusa.
    • 27 de febrero de 2022: El grupo de cibercriminales LockBit, conocidos por sus despliegues de ransomware, declara que se mantendrá apolítico.
    • 27 de febrero de 2022: Chats de Conti son filtrados.

Adicionalmente, se referencia un rastreador que está siendo ofrecido por CyberKnow en Twitter, cuya última actualización se ha realizado este pasado 4 de marzo de 2022:

ciberataques ucrania

4 MAR updated #cybertracker. Fuente: CyberKnow

Gracias a la colaboración de múltiples organizaciones de seguridad informática, se han identificado las siguientes ciberamenazas involucradas en esta ciberguerra:

    • WhisperGate Wiper
    • Pterodo
    • QuietSieve
    • PowerPunch
    • DessertDown/ACTINIUM
    • DinoTrain
    • DilongTrash
    • ObfuBerry/ObfuMerry
    • Gamaredon/Primite Bear
    • PartyTrick
    • CyclopsBlink
    • Mirai DDoS botnet
    • Moobot DDoS botnet
    • Gafgyt DDoS botnet
    • Ripprbot DDoS botnet
    • UNC1151/GhostWriter
    • DanaBot

Cabe destacar que no se está analizando la cantidad titánica de desinformación que se está generando en Internet, cuya detección y análisis es otra de las necesidades defensivas en materia de ciberespacio.

CONSIDERACIONES GENERALES DE SEGURIDAD INFORMÁTICA DEFENSIVA

Gracias a un informe [6] proporcionado por CISA, el FBI y la NSA, se anima a la comunidad de seguridad informática a que mejore su postura general frente a las ciberamenazas y realice actividades de detección proactiva o threat hunting, dentro de sus organizaciones, así como un aumento en la vigilancia digital.

Es aconsejable afirmar los procesos de generación de informes y minimizar las brechas de personal, en la cobertura de seguridad de IT/OT. Así mismo, se recomienda construir, mantener y ejercer un plan de respuesta a incidentes de seguridad, diseñar un plan de resiliencia y un plan de continuidad de operaciones, para que las funciones y operaciones críticas puedan seguir actuando si los sistemas tecnológicos se interrumpen o necesitasen su desconexión.

Algunas de las vulnerabilidades conocidas, que suelen ser explotadas ciberactores APT asociados al gobierno ruso, para obtener acceso inicial son las siguientes:

    • CVE-2018-13379 FortiGate VPNs
    • CVE-2019-1653 Cisco router
    • CVE-2019-2725 Oracle WebLogic Server
    • CVE-2019-7609 Kibana
    • CVE-2019-9670 Zimbra software
    • CVE-2019-10149 Exim Simple Mail Transfer Protocol
    • CVE-2019-11510 Pulse Secure
    • CVE-2019-19781 Citrix
    • CVE-2020-0688 Microsoft Exchange
    • CVE-2020-4006 VMWare
    • CVE-2020-5902 F5 Big-IP
    • CVE-2020-14882 Oracle WebLogic
    • CVE-2021-26855 Microsoft Exchange (Nota: Esta vulnerabilidad suele ir acompañada de CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065)

Se recomienda encarecidamente el escaneo y parcheado de estas vulnerabilidades en todas las infraestructuras.

SUNSEED, GHOSTWRITER Y LAS AMENAZAS CONTRA ORGANIZACIONES EUROPEAS

El 1 de marzo de 2022, Michael Raggi, Zydeca Cass y el equipo de investigación de amenazas de Proofpoint publicaron una campaña denominada como Asylum Ambuscade(en español, Emboscada de asilo), en la que afirmaban que habían identificado una campaña de phishing que, probablemente, estaba empleando una cuenta de correo de un miembro de las fuerzas armadas ucranianas para apuntar a objetivos europeos que estuvieran involucrados en la gestión logística de refugiados ucranianos.

El correo electrónico empleado dispone de un documento ofimático adjunto con macros maliciosas que intentaba descargar el malware que ha sido bautizado como SunSeed. El asunto empleado es

El ciclo de infección ostenta similitudes significativas respecto a campañas asociadas a GhostWriter (también conocido como UNC1151 o TA445), investigadas anteriormente por Proofpoint, lo que les hace relacionar a este ciberactor con la actividad de intrusión observada.

El descubrimiento de esta campaña proviene de unas alertas que generó el equipo de Respuestas de Emergencias Informáticas de Ucrania (CERT-UA), el 25 de febrero de 2022, sobre unas campañas de phishing que estaban intentando obtener cuentas de correo privadas de los miembros de las fuerzas armadas ucranianas. Los correos electrónicos que buscan desplegar Sunseed es, posiblemente,la siguiente fase de esta serie de ciberataques.

Una evaluación interesante que ha realizado Proofpoint, a la luz de la guerra en curso, es que se continuará tomando como objetivo a organizaciones gubernamentales de Europa, como un medio para obtener inteligencia, así como información sobre problemáticas que resulten del interés de Rusia. GhostWriter/UNC1151/TA445 tiene un amplio historial de participación en operaciones de desinformación para manipular la opinión pública sobre los movimientos de los refugiados en países de la OTAN [6].

Dentro del reporte, publicado por el equipo de Threat Intelligence de Mandiant, que genera un informe describiendo las operaciones de desinformación que han sido descritas con anterioridad, relaciona con alta confianza, a UNC1151 con el gobierno bielorruso, junto a la descripción de una serie de países que han sido objetivo de esta actividad de intrusión, entre los años 2017 y 2020:

    • Objetivos principales: Ucrania, Polonia y Lituania.
    • Objetivos secundarios: Colombia, Alemania, Bielorrusia y Estonia.
    • Objetivos terciarios: España, Francia y Irlanda.

BREVE ANÁLISIS DEL MALWARE SUNSEED

El fichero XLS, que se encuentra adjunto en los correos electrónicos de phishing, contiene una macro maliciosa que, cuando es activada ejecuta una macro denominada “Module1” que crea un fichero MSI, el cual es un instalador de Windows, al llamar a una dirección IP controlado por el ciberactor y descargar el paquete MSI. También dispone de una característica de Microsoft, llamada UILevel, que especifica una instalación completamente silenciosa en nivel de usuario.

A continuación, se muestra una captura del paquete MSI que actúa como malware basado en Lua, como puede identificarse en las diferentes DLL contenidas en el propio instalador.

Componentes del paquete MSI. Fuente: Interno

En la imagen anterior,se indican ciertos componentes que participan en el ciclo de infección de SunSeed, así como otras dependencias legítimas de Lua.

En primer lugar, se encuentra el script Lua malicioso (print.lua) que Proofpoint ha denominado como SunSeed [7]. En segundo lugar, se encuentra el intérprete Standalone de Lua Windows “sppsvc.exe” (el cual se encuentra modificado para suprimir el output de consola) y, en tercer lugar, el ficheroLNK que establece persistencia en el arranque de inicio del sistema “\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Software Protection Service.lnk”.

También se destaca el uso del software open-source WixSharp, que permite a los desarrolladores el construir paquetes MSI sin requirir de software adicional en un servidor de montaje.

Acciones customizadas del paquete MSI. Fuente: Interno

El intérprete modificado de Lua Windows es empleado para ejecutar el script malicioso “print.lua” donde se encuentra la carga final, como puede verse en la imagen a continuación:

Acciones customizadas del paquete MSI. Fuente: Interno

En el momento de la ejecución de “print.lua”, accede a las rutas de “\??\MountPointManager\” y “C:\” para obtener el serial number de la partición del disco “C:\”. Tras esto, lo añade a la petición HTTP GET en la que emplea al puerto 80, que envía al servidor de Comando y Control. Puede que se emplee esta técnica, para poder rastrear a los dispositivos infectados y seleccionar cuál de ellos es el mejor candidato para obtener la siguiente etapa de infección.

También se identifica una breve actividad en el Registro de Windows, al acceder a las siguientes claves “HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host” y “HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings”, asociadas a este entorno de ejecución de scripts para sistemas Windows. Windows Script Host puede interpretar y ejecutar JScript y VBScript.

Esto enlaza con otro de la línea de comandos identificada, en la que se emplea JScript, compuesta de la siguiente forma “/B //E:jscript c:/analyse/1645982462.2895553_0b927fe7-6c69-4b9c-8fa8-4781df933f97”.

Debido a su funcionalidad, de descarga adicional de nuevas cargas finales que provean de nuevas capacidades al malware se le define como un descargador (en inglés, downloader) que es controlado desde el servidor C2 (Comando y Control).

DETECCIONES PARA EL MALWARE SUNSEED Y OTRAS FAMILIAS

Con toda la información recopilada sobre este malware, se generan las siguientes reglas SIGMA [9] que puede convertirse en métodos de detección para QRadar, Elastic, ArcSight, entre otros muchos. Para una recogida de eventos de sistema, que resulte más efectiva, se recomienda desplegar Sysmon para la aplicación de estas reglas.

Adicionalmente, se destaca el repositorio de reglas YARA [10] de las familias identificadas durante este conflicto, así como la propia regla YARA que fue desarrollada por Proofpoint, que permite la identificación del fichero XLS que contiene las macros maliciosas que descargan a SunSeed.

CONCLUSIÓN

Una de las posibles evoluciones, a la que se enfrentan la mayoría de analistas de seguridad informática, es el cambio de paradigma en el tablero de los conflictos bélicos.

Por un lado, tomando como inspiración las declaraciones del CSO de Cybereason, Sam Curry, durante la Guerra Fría se lucharon “pequeñas” guerras en países como Corea, Vietnam, Afganistán o incluso, en hechos más recientes, las guerras posteriores a la Revolución Árabe como la guerra de Siria. Estas son conocidas como guerras proxy.

Por otro lado, teniendo en cuenta el estudio de Checkpoint [11] que analizó la volumetría de los tres primeros días de conflicto, los ciberataques contra objetivos ucranianos aumentaron un 196%.

La importancia de las ciberoperaciones está alcanzando tal magnitud que hasta Dmitry Rogozin, actual jefe de la Corporación Espacial Estatal Rusa,ha declarado que la desahabilitación de satélites debido a hackeos puede considerarse casus belli e ir a la guerra, lo que puede hacernos vislumbrar una ciberguerra proxy continua y emergente que solo acaba de comenzar.

Silvia Hernández Sánchez

Threat Hunting & OSINT Specialist en Viewnext

BIBLIOGRAFÍA

[1] Curated Intelligence, Ukraine-Cyber-Operations, 2022: https://github.com/curated-intel/Ukraine-Cyber-Operations/

[2] Michael Raggi, Zydeca Cass y el equpo de Proofpoint Threat Research. Asylum Ambuscade: State Actor Uses Compromised Private Ukrainian Military Emails to Target European Governments and Refugee Movement, 2022: https://www.proofpoint.com/us/blog/threat-insight/asylum-ambuscade-state-actor-uses-compromised-private-ukrainian-military-emails

[3] France 24,Ucrania: del Maidán a la guerra, ocho años de tensiones con Rusia,2022: https://www.france24.com/es/rusia/20220228-rusia-ucrania-maidan-protestas-conflicto

[4] EQUINIX THREAT ANALYSIS CENTER (ETAC), Russian Cyber Operations Against Ukraine, 2022: https://github.com/curated-intel/Ukraine-Cyber-Operations/blob/main/uacyberopsv2.png

[5] EQUINIX THREAT ANALYSIS CENTER (ETAC), Russia-Ukraine Cyberwar Participants, 2022: https://github.com/curated-intel/Ukraine-Cyber-Operations/blob/main/Russia-Ukraine%20Cyberwar.png

[6]CISA, Understanding and Mitigating Russian State-Sponsored Cyber Threats to U.S. Critical Infrastructure, 2022:https://www.cisa.gov/uscert/ncas/alerts/aa22-011a

[7] Gabriella Roncone, Alden Wahlstrom, Alice Revelli, David Mainor, Sam Riddell, Ben Read, Mandiant Research Team, UNC1151 Assessed with High Confidence to have Links to Belarus, Ghostwriter Campaign Aligned with Belarusian Government Interests, 2021: https://www.mandiant.com/resources/unc1151-linked-to-belarus-government

[8] Any.Run, SunSeed sample, 2022: https://app.any.run/tasks/7d445b85-4251-4fba-a564-5e154b5de5a4/

[9] Silvia Hernández, SIGMA_Ukraine_Russia_Cyberwar, 2022: https://github.com/RitaVratask/SIGMA_Ukraine_Russia_Cyberwar

[10] Curated Intelligence, Ukraine-Cyber-Operations/yara, 2022: https://github.com/curated-intel/Ukraine-Cyber-Operations/tree/main/yara

[11] Check, Cyber Attack Trends In The Midst Of Warfare – The numbers behind the first days of the conflict, 2022: https://blog.checkpoint.com/2022/02/27/196-increase-in-cyber-attacks-on-ukraines-government-and-military-sector/