Rusia infiltra agentes en Ucrania para infectar los PC y robar información clave
La guerra de Rusia y Ucrania se recrudece conforme pasa el tiempo. Las victorias y derrotas van y vienen, pero cada vez les cuesta más a cada bando avanzar y por ello, la información de primera mano se ha vuelto clave. Por ello, los piratas informáticos de la mano del Servicio de Seguridad Federal de Rusia han dado un nuevo salto en materia de ataque cibernético, porque, curiosamente, para infectar los equipos se han tenido que infiltrar agentes en suelo Ucraniano y conectar pendrive USB a los PC al más puro estilo de una película de Misión Imposible. Así ha sido el ataque de Shuckworm en Ucrania.
Symantec ha sido la encargada de dar información clave sobre el grupo de hackers llamado como Shuckworm perteneciente a la inteligencia rusa. Lo realizado ha sido una operación de alta complejidad porque requería de agentes en suelo enemigo para infectar localmente a los equipos, tras lo cual, el malware comenzaría a hacer su función ya de forma remota.
Shuckworm vuelve a escena en un golpe a Ucrania muy complejo
El grupo de atacantes lleva siendo rastreado desde 2014 y es convenientemente etiquetado por las principales empresas de seguridad del mundo, sobre todo al estar vinculado al FSB ruso. Se cree con bastante certeza que estos son los autores del ataque a más de 5.000 entidades ucranianas en 2020 para acceder a las ubicaciones de las tropas del país y poderles atacar con precisión más tarde.
Symantec comentó lo siguiente sobre este nuevo y complejo ataque en dos fases:
“Los sectores y la naturaleza de las organizaciones y máquinas objetivo pueden haber dado a los atacantes acceso a cantidades significativas de información confidencial. Hubo indicios en algunas organizaciones de que los atacantes estaban en las máquinas de los departamentos de recursos humanos de las organizaciones, lo que indica que la información sobre las personas que trabajan en las diversas organizaciones era una prioridad para los atacantes, entre otras cosas”.
El objetivo en esta ocasión es información militar delicada, y para ello, los espías portaban un pendrive USB con un script llamado Pterodo, creado para PowerShell y sus sistemas Windows. Una vez que se conecta el USB este se activa en la máquina o PC, y a partir de ahí comienzan los problemas.
Docenas de variantes y rotaciones de IP
El funcionamiento es sencillo, pues, aunque una vez introducido el pendrive USB y activo el script lo único que puede hacer es copiarse mediante accesos directos al escritorio con nombres relevantes como video_porn.rtf.lnk, do_not_delete.rtf.lnk o evidence.rtf.lnk., pero claro, traducidos al ucraniano.
Una vez que se abren estos archivos comienza todo el espectáculo con Pterodo. El script enumera todas las máquinas y unidades, se copia a sí mismo en todas ellas para intentar llegar a equipos que no estén conectados online y además, crea variantes suyas donde para variar, Shuckworm, hábiles en la forma de trabajar su script en Ucrania, van cambiando su IP e infraestructura para no ser localizados.
Para terminar, el script puede trabajar y copiarse en diferentes extensiones de archivo según crea variantes del mismo, como por ejemplo en extensiones .docx, .rar, .sfx, lnk y hta. Por lo tanto, es extremadamente complejo pararlos, puesto que los parámetros generales a seguir son muy pocos entre variantes. Se han localizado varias direcciones IP, hast, nombres de archivos y otros indicadores, pero queda mucho trabajo que hacer y no se sabe a ciencia cierta hasta dónde llega la intrusión y qué agentes la han perpetrado.