Un viernes, cerca de la hora del almuerzo, un banco ruso hizo un conjunto de órdenes por un total de más de 500 millones de dólares en un sistema de intercambio de divisas interbancario. Las órdenes dejaron a la tasa de balanceo rublo-dólar entre 55 y 66 RUB / USD - un rango más grande que lo normal. Si bien Energobank, el banco basado en Kazán, solo sufrió pérdidas financieras marginales, es un notable incidente: no fue un comerciante incauto el que colocó las órdenes, sino un malware.
El troyano Corkow no es conocido porque se usa en ataques a banca corporativa, no a retail
Lo interesante es que esto sucedió hace un año. Sin embargo, los detalles se acaban de publicar, demorados por las investigaciones de Energobank, el banco central ruso, el grupo Moscow Exchange y la policía. Energobank contrató a Group -IB, una consultora de seguridad de la información, a ESET y a otras pocas compañías del sector para asistir en las averiguaciones.
El troyano Corkow
El malware usado en el ataque a la plataforma de intercambio de divisas de Energobank fue Corkow, al cual ESET ha estado observando desde su detección en 2011. Como consecuencia, el analista de seguridad Graham Cluley escribió una descripción general de este troyano, y Robert Lipovsky, investigador de ESET, ha publicado un análisis técnico de Corkow aquí, en WeLiveSecurity.
A pesar de que no es tan "famoso", es un troyano bancario muy capaz. El motivo por el que no es tan conocido es que es usado más que nada en ataques a banca corporativa, e incluso a bancos en sí mismos, en oposición a los troyanos bancarios de "retail" como Hesperbot.
Como otros troyanos bancarios de avanzada, Corkow tiene una arquitectura modular para que los atacantes puedan usar diferentes plugins, según sus necesidades. Y, lo más importante, Corkow tiene módulos para diversos sistemas de banca remota y plataformas de intercambio de divisas.
"Otra característica importante de Corkow es su habilidad para evadir la detección y persistir en el sistema infectado desapercibido, en su forma de archivo DLL", comentó Anton Cherepanov, investigador de malware de ESET.
El ataque al sistema de intercambio
Como mostraron las investigaciones, el malware logró acceder al sistema del banco en septiembre de 2014, infectando una de las computadoras en la plataforma de intercambio. Luego, los criminales recolectaron las credenciales que necesitaban y, finalmente, pudieron lanzar su propio software de intercambio. Así, tomaron el control en forma efectiva de manos de su operador legítimo.
La acción maliciosa consistió en una serie de órdenes para comprar y vender dólares estadounidenses. A pesar de no haber sido ejectadas en forma completa, resultaron en la compra de 160 millones de dólares estadounidenses y la venta de 90 millones.
El ataque solo duró 14 minutos. Inmediatamente, el malware recibió un comando para borrarse del sistema
El tipo de cambio RUB/USD se volvió extremadamente volátil bajo estas operaciones, que eran totalmente incompatibles con las evoluciones anteriores del mercado. La volatilidad permitió comprar dólares por 59,07 RUB/USD y venderlo por 63.35 RUB/USD. Esta es una tasa absurdamente alta y altamente improbable bajo las condiciones de mercado estándar.
Sin embargo, los volúmenes de intercambio no fueron lo suficientemente grandes como para que los atacantes obtuvieran un beneficio significativo de estas operaciones al contado.
El ataque duró solo 14 minutos e "inmediatamente después, el malware recibió un comando para borrarse a sí mismo del sistema infectado y remover todos los ratros de sus actividades", explicó Cherepanov.
El resultado
El ataque a la plataforma de intercambio de Energobank fue exitoso porque los cibercriminales pudieron tomar el control del mecanismo y ejecutar operaciones a su antojo. Pero, según la información disponible, no ganaron dinero directamente de sus operaciones.
"Puede haber varias explicaciones de cómo los criminales capitalizaron su ataque", dijo Cherepanov. Una posibilidad, continuó, es que también hayan aprovechado conocer cuál sería la evolución del mercado. O quizá hubo terceras partes involucradas que lucraron con la manipulación del mercado.
"O quizás todo el ejercicio fue solo una prueba piloto. Y ahora, cuando los criminales están seguros de que realmente pueden manipular el mercado, podemos esperar otros ataques", concluyó Cherepanov.