Un grupo de piratas informáticos estatales rusos conocidos por atacar casi exclusivamente entidades ucranianas se ha diversificado en los últimos meses, ya sea accidental o intencionalmente, al permitir que malware de espionaje basado en USB infecte una variedad de organizaciones en otros países.
El grupo, conocido por muchos nombres, incluidos Gamaredon, Primitive Bear, ACTINIUM, Armageddon y Shuckworm, ha estado activo desde al menos 2014 y el Servicio de Seguridad de Ucrania lo ha atribuido al Servicio Federal de Seguridad de Rusia. La mayoría de los grupos respaldados por el Kremlin se esfuerzan por pasar desapercibidos; A Gamaredon no le importa. Sus campañas motivadas por el espionaje dirigidas a un gran número de organizaciones ucranianas son fáciles de detectar y vincular con el gobierno ruso. Las campañas suelen girar en torno a malware cuyo objetivo es obtener la mayor cantidad de información posible de los objetivos.
Una de esas herramientas es un gusano informático diseñado para propagarse de una computadora a otra a través de unidades USB. Rastreado por investigadores de Check Point Research como LitterDrifter, el malware está escrito en el lenguaje Visual Basic Scripting. LitterDrifter tiene dos propósitos: propagarse promiscuamente de una unidad USB a otra e infectar permanentemente los dispositivos que se conectan a dichas unidades con malware que se comunica permanentemente con los servidores de comando y control operados por Gamaredon.
“Gamaredon continúa enfocándose en [a] amplia variedad [of] «Objetivos ucranianos, pero debido a la naturaleza del gusano USB, vemos indicios de una posible infección en varios países como EE.UU., Vietnam, Chile, Polonia y Alemania», informaron recientemente los investigadores de Check Point. “Además, hemos observado pruebas de infecciones en Hong Kong. Todo esto podría indicar que, al igual que otros gusanos USB, LitterDrifter [has] extenderse más allá de sus objetivos previstos”.
La imagen de arriba, que rastrea los envíos de LitterDrifter al servicio VirusTotal, propiedad de Alphabet, indica que el malware Gamaredon puede estar infectando objetivos muy fuera de las fronteras de Ucrania. Los envíos de VirusTotal generalmente provienen de personas u organizaciones que encuentran software desconocido o de aspecto sospechoso en sus redes y quieren saber si es malicioso. Los datos sugieren que el número de infecciones en Estados Unidos, Vietnam, Chile, Polonia y Alemania combinados puede ser aproximadamente la mitad de las que afectan a organizaciones dentro de Ucrania.
Los gusanos son formas de malware que se propagan sin necesidad de que el usuario realice ninguna acción. Como software que se propaga a sí mismo, los gusanos son conocidos por su crecimiento explosivo a escalas exponenciales. Stuxnet, el gusano creado por la Agencia de Seguridad Nacional de Estados Unidos y su homólogo de Israel, ha sido una advertencia para las agencias de espionaje. Sus creadores pretendían que Stuxnet infectara sólo a un número relativamente pequeño de objetivos iraníes que participaban en el programa de enriquecimiento de uranio de ese país. En cambio, Stuxnet se extendió por todas partes, infectando aproximadamente 100.000 computadoras en todo el mundo. Gusanos no activados por USB como NotPetya y WannaCry han infectado aún más.
LitterDrifter proporciona un medio similar para propagarse a lo largo y ancho. Los investigadores de Check Point explicaron:
La esencia central del módulo Spreader radica en acceder de forma recursiva a las subcarpetas de cada unidad y crear accesos directos señuelo LNK, junto con una copia oculta del archivo «trash.dll».
Tras la ejecución, el módulo consulta las unidades lógicas de la computadora utilizando el Instrumental de administración de Windows (WMI) y busca discos lógicos con el
MediaType
valor establecido ennull
un método que se utiliza a menudo para identificar unidades USB extraíbles.Para cada unidad lógica detectada, el esparcidor invoca el
createShortcutsInSubfolders
función. Dentro de esta función, itera las subcarpetas de una carpeta proporcionada hasta una profundidad de 2.Para cada subcarpeta, emplea el
CreateShortcut
funcionar como parte del “Create LNK
”, que se encarga de generar un acceso directo con atributos específicos. Estos accesos directos son archivos LNK a los que se les asignan nombres aleatorios elegidos de una matriz en el código. Este es un ejemplo de los nombres de los señuelos de una matriz en una de las muestras que investigamos:("Bank_accоunt", "постановa", "Bank_accоunt", "службовa", "cоmpromising_evidence")
. Los archivos LNK usan wscript.exe **** para ejecutar «trash.dll» con argumentos específicos" ""trash.dll"" /webm //e:vbScript //b /wm /cal "
. Además de generar el acceso directo, la función también crea una copia oculta de «trash.dll» en la subcarpeta.
Las técnicas descritas son relativamente simples, pero como se demuestra, son bastante efectivas. Tanto es así que le han permitido salir de su anterior dominio de objetivos exclusivo de Ucrania hacia un ámbito mucho más grande. Las personas que quieran saber si han sido infectadas pueden consultar la sección de indicadores de compromiso de la publicación Check Point, que enumera hashes de archivos, direcciones IP y dominios utilizados por el malware.
«Compuesto por dos componentes principales, un módulo de dispersión y un módulo C2, está claro que LitterDrifter fue diseñado para soportar una operación de recolección a gran escala», escribieron los investigadores de Check Point. «Aprovecha técnicas simples pero efectivas para garantizar que pueda alcanzar el conjunto más amplio posible de objetivos en la región».