Black Seul, infiltración financiera a gran escala

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Para infiltrarse en los sistemas, el grupo Black Seul condujo ataques wateringhole aprovechando los portales que visitaban regularmente las víctimas potenciales, como los portales de las agencias de gobierno y reguladores financieros en diferentes países. 

Algunos de esos recursos son:

knf.gov.pl -La Autoridad de Supervisión Financiera de Polonia
cnvb.gob.mx – La Comisión Nacional Bancaria y de Valores de México
brou.com.uy – B ando de la República Oriental del Uruguay, un banco estatal de Uruguay

 

Mediante el examen de un código en un servidor web con exploits, se detectaron una lista de 255 rangos de direcciones IP. Dicho esto, los atacantes sólo infectaron a aquellos usuarios que visitaron el sitio web desde un equipo dentro del rango de IP específico. Con base en esta lista, los investigadores han compilado un mapa de los países que fueron de interés para los atacantes.

Para tener acceso a los sitios de los reguladores financieros y a las redes locales de los bancos, los cibercriminales utilizaron vulnerabilidades conocidas en el servidor JBoss y el portal Liferay. De esta forma, recopilaron el exploit de Siverlight CVE-2016-0034 (MS16-006) el cual estaba incluido en los kits de exploit de RIG y Angler, además exploits en Flash del kit de Neutrino.

Establecimiento de la infraestructura C&C:  

Los atacantes crearon una infraestructura de tres niveles que consistía en servidores comprometidos, entre los cuales establecieron canales cifrados SSL.

La interacción de red con el equipo atacado se llevó a cabo sólo desde el servidor de capa (Layer) 1, que actuó como un servidor C&C.

En algunos casos, colocaron el servidor Layer 1 dentro de la organización atacada para reducir el riesgo de detección. De esta forma, obtuvieron acceso a estos servidores mediante el uso de contraseñas forzadas para protocolos de escritorios remotos (RDP, por sus siglas en inglés).

Los hackers usaron un set de herramientas originales

Server_RAT                          Utilizado para gestionar infraestructura de servidores basados en Windows

Server_TrafficForwarder         Reenvía el tráfico de un servidor externo a otro

Backend_ Listener Establece la conexión con servidores con Server_RAT instalado, con el cual obtiene comandos directamente del actor de amenaza
Admin_Tool Herramienta de administración para enviar comandos para infectar computadoras

SWIFT toolbox                             Set de herramientas que utilizan los bancos para realizar transferencias internacionales que identifica a cada entidad financiera con un código único.

A través de un análisis sobre las herramientas utilizadas por los atacantes, los especialistas de identificaron el esquema de comunicación entre los nodos con la infraestructura C&C.