La particular cuenta atrás de las elecciones alemanas

viernes, 22 de septiembre de 2017

La tecnología utilizada por los sistemas de votación se convirtió en 2016 en el centro de atención tras las pasadas elecciones de Estados Unidos. A pesar de no haber evidencias de que las máquinas hubieran sido comprometidas, ésta es una preocupación entre tantas que pueden hacer que los procesos democráticos pueden estar influenciados por terceros actores. En este sentido, tal y como se detalla en el informe elaborado por ElevenPaths, distintas instituciones gubernamentales de Alemania habrían sido objetivo de diferentes tipos de ciberataques en los últimos meses.


Amenazas atribuidas a APT28

Alemania ha sufrido con anterioridad ataques a diversas infraestructuras políticas como el Bundestag o el partido político Unión Demócrata Cristiana atribuidas al grupo APT28. Según las bases de datos de amenazas de las que dispone ElevenPaths, se habría identificado en los meses de agosto y septiembre de 2017 un repunte de sesiones activas vinculadas a la suite de malware utilizada por APT28.

Figura 1. Número de sesiones activas de la suite de malware de APT28.


Entre todas estas muestras de malware, se ha detectado un downloader llamado Coreshell con impacto en organizaciones gubernamentales en Alemania. Coreshell descarga en una segunda fase un backdoor desde un C2. Este downloader, con el tiempo ha evolucionado desde Sourface a versiones más recientes de Coreshell, normalmente compiladas en una DLL (coreshell.dll).

Utiliza dos subprocesos para comunicarse con su C2. El primero envía beacons que contienen la lista de procesos del host comprometido y el segundo es responsable de descargar y ejecutar dos payloads. Los mensajes son enviados utilizando peticiones HTTP POST cuya información se encuentra codificada en Base64 y además cifrada. En cuanto al método utilizado, usa un algoritmo de flujo personalizado con una clave de seis bytes. Los comandos desde el C2 hasta los implants de Coreshell usan otro tipo de cifrado de flujo, pero esta vez utilizan una clave de ocho bytes.

Coreshell ha usado el mismo user-agent string (“MSIE 8.0”) que Sourface utilizó anteriormente, pero en muestras más recientes Coreshell utiliza el user-agent string de Internet Explorer. 

Otras amenazas genéricas

Desde otro punto de vista, también se han identificado otras familias de malware genérico y no asociado a grupos conocidos o al menos no atribuidos a APT28 como parte de su arsenal de herramientas actual. Entre ellas se han encontrado distintos tipos de malware con capacidades de robo de información, control de los sistemas infectados y diferentes implementaciones para atacar plataformas Windows, Mac y Android.

También se han detallado en el informe ficheros ejecutables, documentos de texto y ficheros .pdf con exploits embebidos, exploit kits, Flash y aplicaciones desarrolladas en Java que estarían afectando a sedes gubernamentales alemanas.

El rango temporal en la que se sitúan estas amenazas es desde enero del 2015 hasta las más recientes detectadas durante el desarrollo de esta investigación en septiembre de 2017. Por su parte, los vectores de infección han sido el correo electrónico, la navegación web, Flash, FTP, Ownclod y Mediafire.

Figura 2. Número de sesiones activas de muestras genéricas con impacto en instituciones gubernamentales. 

Más fake news

Por otro lado, según el gobierno alemán, también se han detectado operaciones de propaganda y desinformación procedentes de medios de comunicación rusos similares a los identificados en las elecciones de Estados Unidos y de Francia. En este sentido, el grupo de trabajo East StratCom de la Unión Europea, creado en 2015 para combatir las campañas de desinformación del gobierno ruso, descubrió que la canciller Angela Merkel estaba siendo objetivo constante de este tipo de ataques debido a su política hacia los refugiados. Otro caso estaría relacionado con unos correos electrónicos enviados a medios de comunicación sobre el «Caso Lisa» en donde soldados alemanes habrían sido acusados de violación durante su estacionamiento en Lituania como parte de las fuerzas militares de la OTAN. 

Quedan menos de 72 horas para la celebración de las elecciones y ninguna filtración se ha producido hasta el momento. Por el momento, la BSI ha contratado a 180 expertos para minimizar el riesgo de potenciales intromisiones externas en el sistema de voto. Sin embargo, nos encontramos escuchando el ruido ensordecedor del tic-tac del reloj donde desconocemos si algún ataque previo pudo ser efectivo y si consiguieron información con capacidad de influenciar unas elecciones. 

Miguel Ángel de Castro Simón
(Senior Cybersecurity Analyst at ElevenPaths)

Yaiza Rubio
(Intelligence Analyst at ElevenPaths)



No hay comentarios:

Publicar un comentario