España cae víctima del programa espía MiniDuke

Cumpliendo con las previsiones en materia de seguridad para el año 2013, que hablaban de un incremento de los ataques de ciberespionaje, los expertos de Kaspersky Lab han alertado de la presencia de un programa malicioso que ha sido utilizado durante la última semana para espiar a entidades gubernamentales de todo el mundo. Entre ellas, las españolas.

Los autores de este backdoor, que ha sido bautizado como MiniDuke, combinan “sofisticadas amenazas de la vieja escuela con exploits avanzados en Adobe Reader”, según han explicado los expertos, con la intención de reunir información de inteligencia geopolítica de grandes organizaciones.

Además de España, se encuentran afectadas instituciones de Ucrania, Bélgica, Portugal, Rumania, República Checa e Irlanda y otros objetivos de alto perfil como un instituto de investigación, dos centros de estudios, una importante fundación de investigación en Hungría y un proveedor de atención médica de Estados Unidos.

“Este es un ataque cibernético muy inusual”, señala Eugene Kaspersky, fundador y CEO de Kaspersky Lab. “Recuerdo que este tipo de programas maliciosos se utilizaban desde finales de los 90 hasta comienzos del año 2000. Me pregunto si este tipo de malware, que ha estado en hibernación durante más de una década, ha despertado de repente y se ha unido al sofisticado grupo de amenazas activas en el mundo cibernético”.

“MiniDuke es un backdoor altamente personalizado escrito en Assembler y cuyo tamaño es muy reducido, sólo 20kb“, añade Kaspersky. “La combinación de creadores de malware de la vieja escuela, muy experimentados, usando exploits descubiertos recientemente y la ingeniería social inteligente para comprometer los objetivos de alto perfil es extremadamente peligrosa”.

De las primeras investigaciones se desprende que los ciberdelincuentes se aprovechan de la eficacia probada de técnicas de ingeniería social a través del envío de documentos PDF maliciosos a sus víctimas. En este caso, estos archivos contenían información relevante, como seminarios de la Organización de los Derechos Humanos, datos de política exterior de Ucrania y planes de los miembros de la OTAN.

Para hacer efectivo el ataque, los PDF maliciosos se unieron a exploits presentes en las versiones de Adobe Reader 9, 10 y 11, sin pasar por su sandbox. Y, una vez en el sistema, procedieron a instalar el pequeño programa de 20kb en el disco de los usuarios, capaz de acometer una serie de cálculos matemáticos para determinar la única huella digital del equipo y cifrar sus comunicaciones. Asimismo, MiniDuke está preparado para evitar el análisis de herramientas cifradas de entornos como VMware.

Y ahí no acaba el proceso. Si el sistema al que se dirige el ataque cumple con los requisitos predefinidos, se emplea Twitter para buscar publicaciones específicas de cuentas previamente creadas por los operadores del Comando&Control de MiniDuke (C2). Y, en caso de que la red social no funcione, se recurre a Google para encontrar los enlaces cifrados que deriven al siguiente C2.

Este modelo altamente flexible permite a los ciberdelincuentes cambiar constantemente sus backdoors y recuperar más comandos a medida que sea necesario. Cuando se consigue infectar finalmente el equipo, se reciben backdoors camuflados en imágenes y se descarga una gran puerta trasera con la que copiar, mover y eliminar archivos, hacer directorio, terminar procesos y ejecutar nuevos programas maliciosos. Todo ello conectándose a dos servidores que han sido rastreados hasta Panamá y Turquía.