Como mencionábamos ayer, la investigación que decidimos llamar Operación Medre, consiste en un ataque dirigido realizado al Perú por medio de una amenaza detectada por ESET NOD32 Antivirus como ACAD/Medre.A. No es algo normal toparse con un ataque dirigido, más allá de las últimos casos reportados de este tipo como fueron Stuxnet, Duqu o Flame, por lo que el análisis que se realizo desde ESET Latinoamérica fue muy minuciosos antes de poder determinar esto. A continuación detallaremos algunas estadísticas que nos permitieron llegar a esa conclusión.

El origen de esta investigación, por particular que suene, fue gracias a una estadística que nos permitió ver el ranking de amenazas para Perú, donde se destacaba en la novena posición ACAD/Medre.A. El que una amenaza tan específica como esta, que busca robar proyectos de AutoCAD, tenga tan alto indice de detección genero curiosidad dentro de nuestro equipo de investigación. Para destacar la detección frente a las 10 amenazas más detectadas en Latinoamérica y en el mundo les facilitamos el siguiente gráfico:

Estadisticas de detección de ACAD/Medre.A

Analizando estos datos notamos que del porcentaje de detecciones globales para esta amenaza, el 96% pertenecían al Perú. Estos valores son muy anormales, ya que las amenazas tienden a distribuirse de manera relativamente pareja entre los países, destacándose siempre aquellos con mayores poblaciones que participan activamente en la red. Para demostrar visualmente esta diferencia a continuación se puede apreciar un gráfico con el porcentaje de detecciones por país:

Deteccion por pais de ACAD/Medre.A

Podemos notar claramente que el segundo país en cantidad de detecciones es Ecuador con un 2% de las detecciones, demostrando así una evidente diferencia en la cantidad de las infecciones.

Luego de profundizar en el análisis de las muestras, logramos ingresar a las cuentas de correo utilizadas para enviar los proyectos robados y en base a los rebotes de los correos logramos determinar una cantidad aproximada de los proyectos robados. Más de 10.000 proyectos ya habían sido robados al momento que ingresamos a dichas cuentas, demostrando que el ataque había sido efectivo. En base al análisis que hicimos de las rutas y nombres de los archivos robados logramos encontrar un patrón de repetición que indicaba que la mayoría de esos proyectos era de origen latinoamericano. A continuación un gráfico que plasma este análisis:

Nombre de archivos y rutas de proyectos robados

Inmediatamente se destaca que los términos que más se repiten son "plano", "proyecto" y "escritorio" permitiéndonos asumir que provienen de países de habla hispana, y si tenemos en cuenta el gráfico anterior podemos acotarlos aún más geográficamente.

Este tipo de ataque, con la magnitud que lo caracteriza y su distribución específica es lo que nos permitió llegar a la conclusión, entre otras cosas, que se trató de un ataque dirigido principalmente a Perú. En los últimos meses se ha hablado mucho sobre los ataques dirigidos en busca de información específica u objetivos puntuales y no es de sorprender que ahora comencemos a verlos en países de Latinoamérica.

Para saber más sobre esta investigación pueden referirse a nuestro white paper "Operación Medre: ¿espionaje industrial en Latinoamérica?" y de precisarlo pueden descargar gratuitamente la herramienta de limpieza que desarrollamos para ACAD/Medre.A.

Joaquín Rodríguez Varela
Coordinador de Laboratorio