Sednit es uno de los grupos más famosos de atacantes cibernéticos que opera en el mundo de hoy. Aunque está activo desde al menos 2004 (y posiblemente antes), en los últimos dos años el grupo desafortunadamente ha intensificado su actividad, con el propósito de atacar a sus objetivos con la mayor fuerza y eficacia posible.
Como está al tanto de dichas actividades maliciosas, ESET, líder mundial en seguridad informática, le ha estado siguiendo los pasos a Sednit implacablemente durante los últimos años, una tarea que ha demostrado ser de alto contenido informativo. Las investigaciones dieron lugar a una trilogía de papers, donde se detallan muchos aspectos característicos del grupo malicioso.
El presente artículo te ofrece un panorama de los resultados obtenidos por ESET, que servirá como punto de partida para quienes deseen conocer las actividades de Sednit en resumen. Sin embargo, recomendamos leer los tres documentos, disponibles en inglés, ya que explican las operaciones del grupo con un nivel de detalle fascinante:
- Primera parte: "En Route with Sednit: Approaching the Target"
- Segunda parte: "En Route with Sednit: Observing the Comings and Goings"
- Tercera parte: "En Route with Sednit: A Mysterious Downloader"
Además, preparamos este video para que comprendas sus actividades:
Parte 1: Aproximándose al objetivo
Los objetivos de ataque principales de Sednit nos revelan las motivaciones del grupo y su gran sofisticación. Observa los siguientes objetivos:
- Abril de 2015: TV5Monde, una cadena de televisión francesa
- Mayo de 2015: el Parlamento alemán
- Marzo de 2016: el Comité Nacional Demócrata Estadounidense
De aquí podemos inferir dos cosas. La primera, que el grupo Sednit está más que confiado en sus capacidades, ya que ataca objetivos de alto perfil. Y la segunda, que sus actividades están conectadas con la geopolítica internacional.
ESET logró encontrar la lista de objetivos tras descubrir una falla en una de las campañas de phishing dirigido del grupo. Sednit utiliza Bitly para acortar las direcciones URL utilizadas en sus correos electrónicos de phishing dirigido. Sin embargo, olvidó configurar una de sus cuentas, que quedó pública por error, por lo que pudimos ver todas las URL que había acortado.
La lista incluía individuos y organizaciones con direcciones de Gmail, entre los que se encontraban: embajadas pertenecientes a Argelia, Colombia, India, Iraq, Corea del Norte, Kirguistán y el Líbano (entre otros países); Ministerios de Defensa en Argentina, Bangladesh, Corea del Sur, Turquía y Ucrania; periodistas con sede en Europa del Este; disidentes políticos rusos; y miembros de las instituciones de la OTAN.
La mayoría de los objetivos identificados comparten un punto de vista sobre la situación política en Europa del Este
Los investigadores de ESET señalaron: "La mayoría de los objetivos que pudimos identificar tienen algo en común: comparten el mismo punto de vista con respecto a la situación política actual en Europa del Este".
Al dirigir sus ataques a estos individuos y grupos, Sednit utiliza dos métodos principales para desplegar su software malicioso. El primero es persuadir al usuario para que abra un archivo adjunto en el correo electrónico. El segundo es dirigir al usuario a un sitio web que contiene un exploit kit personalizado (que aprovecha las fallas de los sistemas o dispositivos). La mayoría de los ataques se originan con un correo electrónico de phishing dirigido.
Lo que es particularmente interesante sobre Sednit es su capacidad de identificar vulnerabilidades 0-day. Por ejemplo, solo en 2015, el grupo fue capaz de aprovechar seis de estas vulnerabilidades nuevas, demostrando así su alto nivel de perspicacia y habilidad.
ESET concluyó: "En general, el grupo Sednit busca constantemente nuevas maneras de llegar a sus objetivos, ya sea mediante estrategias oportunistas o desarrollando sus propios métodos originales".
Parte 2: Observando las idas y vueltas
Una vez que Sednit termina de hacer el reconocimiento de sus objetivos potenciales (utilizando el malware Seduploader o Downdelph, por ejemplo), despliega su kit de herramientas de espionaje, que le permite monitorear a largo plazo los dispositivos infectados.
En general, esto se logra a través de dos backdoors de espionaje, Sedreco y Xagent, y más tarde, a través de la herramienta de red Xtunnel. Sin lugar a dudas, estas tres aplicaciones maliciosas son fundamentales para entender y detectar gran parte de las actividades de Sednit.
Con respecto a Xagent, que tiene versiones para Windows, Linux e iOS, los investigadores explicaron: "Es un backdoor muy bien diseñado que se ha convertido en el principal malware de espionaje de Sednit en los últimos años. La capacidad de comunicarse a través de HTTP o por correo electrónico lo convierte en una herramienta versátil para los operadores".
En cuanto a Sedreco, un malware flexible compuesto por un dropper y un payload persistente, se descubrió que es un backdoor sumamente útil. Utilizado por Sednit durante muchos años, tiene la capacidad de "registrar nuevos comandos en forma dinámica" y es capaz de "cargar complementos externos".
Finalmente, con respecto a Xtunnel, que modifica un dispositivo infectado y lo transforma efectivamente en una puerta de entrada a la red, la investigación concluyó: "Creemos que es de gran importancia para los operadores de Sednit".
Parte 3: Un downloader misterioso
Indicativo de su importancia, el documento final sobre Sednit está dedicado a Downdelph, un malware empleado en la primera etapa de los ataques que, a pesar del uso limitado que le dieron los operadores, ofrece una visión sorprendente de la forma en que el grupo se aproxima a ciertos objetivos.
De acuerdo con los datos telemétricos de ESET, solo se ha desplegado siete veces. Sin embargo (y aquí es donde se pone interesante), Downdelph se combinó con un bootkit y un rootkit, también conocidos como métodos de persistencia avanzados. Por más que parezca un enfoque peculiar, demostró ser extremadamente exitoso al permitirle a Sednit operar bajo el radar.
Downdelph, llamado así por el hecho de que está escrito en el lenguaje de programación Delphi, funciona de la siguiente manera: descarga un archivo de configuración principal, amplía la lista de servidores de C&C y luego descarga un payload desde cada uno de ellos.
ESET concluyó: "Como los operadores de Sednit desplegaron a Downdelph en muy pocas ocasiones, lograron alejarlo de los investigadores de malware durante casi dos años, lo que, al combinarse con los métodos de persistencia avanzados, hizo posible que se pudiera mantener el monitoreo de los objetivos seleccionados por un largo período de tiempo".
Te invitamos a que leas los detalles de esta investigación para conocer más sobre las actividades de este grupo de espionaje.