Los investigadores de ESET han analizado una nueva amenaza que podemos describir como un backdoor de lo más elaborado. Se llama Dino y pertenece a la misma categoría que Babar y Bunny, previamente analizados; es decir, es un programa espía reservado solo para objetivos (o víctimas) importantes.
Joan Calvet, investigador principal de Dino, señala que entre sus innovaciones técnicas hay un almacenamiento de archivos personalizado para ejecutar comandos de forma sigilosa. "Dado el conjunto de comandos que puede recibir, el objetivo principal de Dino parece ser la exfiltración de archivos de sus blancos. Por ejemplo, un operador le puede pedir que provea todos los archivos con extensión .DOC cuyo tamaño sea mayor a 10 kilobytes y que hayan sido modificados en los últimos tres días", explica.
Casi sin dudas, Dino fue desarrollado por el grupo de espionaje Animal Farm, la misma gente que desarrolló Babar, Bunny y Casper. Esto se desprende de que comparten partes específicas de código y, anteriormente, se encontró un Centro de Comando y Control (C&C) que utilizaron los tres.
Respecto al idioma, hay dos señales convincentes que sugieren que los creadores de Dino hablan francés:
- Primero, el lenguaje de la computadora que sirvió para crear a Dino está escrito en el programa, lo cual puede suceder bajo ciertas condiciones. Este valor de lenguaje está configurado en francés, aunque generalmente los creadores de malware remueven esta pista -pero parece que los desarrolladores de Dino olvidaron hacerlo en este caso.
- Segundo, dejaron visible en el programa un nombre de directorio que contiene parte del código fuente de Dino en la computadora del desarrollador. Este directorio se llama "arithmetique", francés para "aritmética".
"Extrañamente, los desarrolladores dejaron en Dino muchos errores verbales, lo que nos ayudó en el análisis. Pareciera que jamás pensaron que alguien encontraría a Dino y lo analizaría", dice Joan Calvet.
Y es que justamente, encontrarlo no fue fácil porque pocas muestras se han ejecutado en equipos víctimas. Los investigadores de ESET creen que Dino es ejecutado solo en objetivos importantes y grandes, una vez que los operadores hicieron un "reconocimiento del terreno" previo con un malware más ligero, como Casper.
En conclusión, según afirma Joan Calvet, "el binario de Dino muestra un intenso esfuerzo en cuanto a desarrollo, desde estructuras de datos personalizadas hasta un sistema de archivos casero. Como con otros binarios de Animal Farm, lleva la marca de desarrolladores profesionales y experimentados".
Sin embargo, "Dino también muestra poco conocimiento o interés por parte de sus desarrolladores en técnicas anti-análisis, contrario a lo que se vio en Casper -como se demostró, por ejemplo, en la verbosidad de algunos de los mensajes de log de Dino".
Más información en el artículo de investigación Dino - the latest spying malware from an allegedly French espionage group analyzed.