El mapa de una APT: las amenazas financieras bajo una nueva óptica

A mediados de 2018, los investigadores de Bitdefender estudiaron un ataque dirigido contra una institución financiera de Europa del Este, ampliaron sus conocimientos y establecieron toda la línea de tiempo del evento, lo que vino a ilustrar cómo se infiltraba el infame grupo Carbanak en las organizaciones, cómo se movía lateralmente por la infraestructura y el tiempo que les llevaba preparar el robo en sí.

El punto inicial de compromiso que hallamos en nuestra investigación implicaba el uso de correos electrónicos de phishing selectivo con URL maliciosas y documentos contaminados para descargar un componente baliza conocido como Cobalt Strike. A las pocas horas de producirse el compromiso, el grupo de delincuentes informáticos comenzaba a moverse lateralmente por la infraestructura, identificar documentos vitales y prepararlos para su extracción, además de intentar acceder a las aplicaciones bancarias y de cajeros automáticos de la organización.

El análisis forense de Bitdefender reveló algunas tácticas de compromiso esenciales:

• Las instituciones financieras de Europa del Este siguen siendo el objetivo principal de este grupo criminal, que utiliza el phishing selectivo como principal vector de ataque.
• La presencia de la herramienta de piratería informática Cobalt Strike es el síntoma principal del ataque a las instituciones financieras por parte de la banda de delincuentes informáticos Carbanak.
• En la fase de reconocimiento, se recopilaban y preparaban para la extracción los datos relacionados con las aplicaciones bancarias y los procedimientos internos, con el fin de utilizarlos en la fase final del ataque.
• El reconocimiento de la infraestructura se producía principalmente después del horario laboral o los fines de semana para evitar la activación de alarmas de seguridad.
• Los piratas solo tardaron un par de horas desde el compromiso inicial hasta su total afianzamiento y su movimiento lateral, lo que demuestra experiencia, conocimiento y coordinación.
• El objetivo final del ataque selectivo era comprometer las redes de cajeros automáticos, para poder retirar dinero de los cajeros en una operación delictiva coordinada tanto física como de infraestructura.

En 2018, los investigadores de seguridad analizaron varias campañas de phishing selectivo atribuidas a Carbanak, todas ellas entre marzo y mayo de ese mismo año. Dichas campañas suplantaron correos electrónicos de grandes organizaciones, como IBM o el Banco Central Europeo, así como de empresas de seguridad informática.

Aunque la mayoría de las investigaciones forenses se centran en ofrecer un análisis muy técnico de las acciones destructivas responsabilidad del grupo Carbanak, el estudio de Bitdefender ofrece toda la línea de tiempo de los eventos, desde el momento en que el correo electrónico llegó a la bandeja de entrada de la víctima hasta el propio robo.

Modus operandi

El grupo de delincuentes informáticos APT tiene un largo historial de éxitos en la selección de instituciones financieras de todo el mundo para retirar dinero en cajeros automáticos o realizar transferencias bancarias utilizando los sistemas internos del banco.

Los correos electrónicos de phishing selectivo enviados a las instituciones financieras terminan con las víctimas descargándose un documento manipulado destinado a descargar la baliza Cobalt Strike o a aprovechar diversas vulnerabilidades sin parchear para la ejecución remota de código y la implementación de una puerta trasera.

Una vez que el usuario intenta abrir los documentos adjuntos, los scripts (figura 1) incrustados en los archivos se guardan en el disco y se ejecutan automáticamente en segundo plano. Se trata de una técnica muy popular, a veces asociada con amenazas persistentes avanzadas (APT) atribuidas a responsables patrocinados por Estados.

Los ataques, pensados para su infiltración sigilosa dentro del sistema objetivo, utilizan herramientas de reconocimiento diseñadas para evaluar el estado de la estación de trabajo de la víctima y determinar qué herramientas deben descargarse a continuación, o incluso abrir documentos señuelo similares al de la figura 2 para evitar despertar las sospechas de las víctimas.

La investigación de Bitdefender revela toda la línea de tiempo de los ataques

Se contactó con el equipo de investigación forense de Bitdefender para estudiar un incidente de seguridad que comenzó en mayo de 2018 con un correo electrónico recibido por dos de los empleados del banco. Como se ha mencionado anteriormente, la fecha coincide con una campaña de phishing selectivo de Carbanak.

El objetivo del ataque era acceder a los sistemas bancarios y, finalmente, retirar efectivo de los cajeros automáticos. El patrón exhibido por los atacantes y sus movimientos laterales por la infraestructura demuestran que sabían qué tipo de información buscar y que eran expertos en técnicas de evasión.

A juzgar por la forma en que los atacantes interactuaron con diferentes sistemas, los hosts objetivo y los documentos preparados para su extracción, parece que el grupo de delincuentes informáticos se centró inicialmente en trazar un mapa de los procesos internos y las aplicaciones de la institución afectada. Demostraron una gran comprensión de la naturaleza y la ubicación de los datos que buscaban. Pudieron mantener una huella de red baja y evitar sospechas utilizando estaciones de trabajo individuales seleccionadas para centralizar la información recopilada y para la comunicación con su servidor de mando y control, fuera del horario de oficina normal del banco.

Tras comprometer a la primera víctima, el siguiente objetivo de los agresores fue encontrar credenciales de nivel de administrador que les permitieran moverse por toda la infraestructura. Al realizar todas estas operaciones fuera del horario laboral y limitar su interacción a unos pocos sistemas, el grupo de delincuentes informáticos minimizó las posibilidades de ser descubiertos.

Durante este tiempo, se desarrolló un plan de reconocimiento de la red y movimiento lateral cuidadosamente ejecutado. A continuación se expone la línea de tiempo de los eventos que comenzaron con el correo electrónico inicial de phishing selectivo.

Conclusiones

El grupo Carbanak, que tiene un largo historial de compromisos de infraestructuras pertenecientes a instituciones financieras, continúa activo. Su propósito sigue siendo la manipulación de activos financieros, ya sea transfiriendo fondos de cuentas bancarias o tomando el control de infraestructuras de cajeros automáticos y obligándoles a dispensar efectivo en determinados momentos.

La investigación de Bitdefender muestra que los principales métodos de los atacantes siguen siendo infiltrarse silenciosamente en la infraestructura estableciendo una cabeza de puente en el sistema de algún empleado, para luego moverse lateralmente por la infraestructura o elevar los privilegios con el fin de encontrar sistemas vitales que gestionen transacciones financieras o redes de cajeros automáticos.

Este ataque sigue la línea de objetivos ya observados en ataques anteriores contra otras instituciones financieras, ya que la organización de delincuentes informáticos se centró en la red de cajeros automáticos alcanzando sistemas que pertenecían a personas clave dentro de la organización que tenían acceso a los sistemas de cajeros automáticos.

Si el ataque hubiera tenido éxito, habría proporcionado a los piratas informáticos el control de la red de cajeros automáticos, mientras que se habrían apostado compinches junto a las máquinas de los cajeros en momentos preestablecidos para llevarse el efectivo. También podrían haber sido capaces de restablecer el límite de retirada de los cajeros automáticos para una tarjeta predeterminada o preautorizada. De esta manera, sus compinches podrían haber extraído una y otra vez la misma suma sin que los cajeros automáticos informasen de ninguna transacción al banco.

En los ataques selectivos con correos electrónicos de phishing no es infrecuente eludir las soluciones antispam implementadas en el servidor de correo, por lo que es conveniente implementar un modelo de seguridad en profundidad que ofrezca filtrado de URL y técnicas de detección basadas en el comportamiento y en espacio aislado, aparte de las clásicas soluciones antimalware. Una solución de nivel empresarial que analice tanto el tráfico de la red como el comportamiento del endpoint observaría los movimientos laterales del atacante y los marcaría para su análisis por parte del equipo de seguridad.

Los daños observados durante todo el proceso de investigación se limitaron al acceso a los documentos internos de los sistemas comprometidos y la filtración de las credenciales de las cuentas de usuario.