Los laboratorios de Blue Coat dan a

conocer uno de los ataques de malware

ms sofisticados que se hayan visto:
inception

Este ataque ha sido dirigido principalmente a militares,

diplomticos y ejecutivos de negocios, inicialmente dirigido a Rusia, pero

ahora en expansin a nivel mundial

El ataque dirigido Incluye tambin los dispositivos mviles:

Android, Blackberry e iOS

Los atacantes utilizan un servicio de alojamiento gratuito en la

nube con sede en Suecia para mando y control

LIMA, 15 de Diciembre de 2014: Investigadores de los laboratorios de

Blue Coat han identificado la aparicin de un ataque previamente
indocumentado con fines muy concretos de accesar y extraer
informacin confidencial de los ordenadores de las vctimas. Debido a

las muchas capas utilizadas en el diseo de los programas maliciosos, se

le ha nombrado Inception, u origen en espaol, haciendo referencia a
la pelcula de Leonardo DiCaprio en la que un ladrn entra en sus sueos
para robar sus secretos del subconsciente.
Los objetivos incluyen individuos en posiciones estratgicas: Ejecutivos de
empresas importantes como el petrleo, las finanzas y la ingeniera,
oficiales militares, personal de la embajada y funcionarios del gobierno.
Los ataques Inception comenzaron centrndose en objetivos situados
sobre todo en Rusia o relacionados con los intereses de Rusia, pero
desde ya se han extendido a otros lugares del mundo. El mtodo de
entrega de malware preferido es a travs de correos electrnicos de
phishing que contienen documentos troyanizados.
El mando y Control del trfico en la plataforma Windows se realiza
indirectamente a travs de un proveedor de servicios cloud sueco
utilizando el protocolo WebDAV. Esto oculta la identidad del atacante y
puede pasar por alto muchos mecanismos de deteccin actuales.
Los atacantes han aadido otra capa de indireccin para enmascarar su
identidad mediante el aprovechamiento de una red de proxy compuesta
por routers, la mayora de los cuales estn basados en Corea del Sur,
para su comunicacin de comando y control. Se cree que los atacantes
fueron

capaces

de

comprometer

estos

dispositivos

basados

configuraciones pobres.
Est claro que los atacantes tienen la intencin de permanecer ocultos.

en

El ataque sigue evolucionando. Los investigadores del laboratorio de Blue

Coat han encontrado recientemente que los atacantes tambin han
creado programas maliciosos para Android, BlackBerry y dispositivos iOS
para recopilar informacin de las vctimas. Hasta la fecha, Blue Coat ha
observado ms de 60 proveedores de servicios mviles, como China
Mobile, O2, Orange, SingTel, T-Mobile y Vodafone, que han sido
comprometidos, pero el nmero real es probablemente mucho ms alto.
Los investigadores de Blue Coat han descubierto una serie de correos
electrnicos de phishing destacando objetivos de la industria por pas:
Finanzas [Rusia]
Sector de Petrleo [Rumania, Venezuela, Mozambique]
Embajadas / Diplomacia [Paraguay, Rumania, Turqua]

Antecedentes
En marzo de 2014, Microsoft public informacin sobre una nueva
vulnerabilidad en formato de texto enriquecido (RTF). Esta vulnerabilidad
ya fue explotada por los atacantes. A finales de agosto, Blue Coat
identific una operacin de espionaje malware para activar la ejecucin
de la carga maliciosa, y que aprovech un servicio de nube sueco,
CloudMe, como la columna vertebral de su toda la infraestructura visible.
Cuando Blue Coat notific a CloudMe.com sobre el abuso de sus
servicios, CloudMe proporcion investigacin adicional, incluyendo una
gran cantidad de informacin de registro relacionada con el ataque. Cabe
sealar que el servicio CloudMe no se est extendiendo activamente el
contenido malicioso; los atacantes slo lo utilizan para almacenar sus
archivos.

Cmo funciona el ataque Inception?

Los atacantes se dirigen a personas en posiciones estratgicas

mediante el envo de correos electrnicos con documentos que infectarn

sus sistemas cuando se abren.

Cuando el usuario hace clic en el documento, un documento de

Word se abre y el software se instala y se ejecuta en segundo plano.

El malware recoge informacin del sistema desde la mquina

infectada, incluyendo la versin del sistema operativo, nombre del

equipo, nombre de usuario, la pertenencia a grupos de usuarios, el
proceso en donde se est ejecutando , IDs locales , as como la unidad
del sistema y el volumen de la informacin.

Toda la informacin del sistema es encriptada

y enviada a

almacenamiento en la nube a travs de WebDAV, un protocolo de

comunicacin utilizado para la edicin y gestin de archivos en servidores
remotos, que no pasa por muchos mecanismos de deteccin.

Conclusin
Es evidente que hay una organizacin con muchos recursos

y muy

profesional detrs de estos ataques Inception, con objetivos precisos e

intenciones que podran expandirse y ser muy perjudiciales. El complejo
ataque muestra signos de gran experiencia en automatizacin y
programacin, y el nmero de capas que se utilizan para proteger la
carga til del ataque y para ocultar la identidad de los atacantes es muy
avanzada.

La atribucin siempre es difcil, y en este caso es extremadamente difcil.

En base a las caractersticas del ataque y la focalizacin de las personas
relacionadas en los sectores poltico, econmico y militar nacional, los
atacantes

podran

ser

un

Estado-nacin

de

tamao

medio,

posiblemente una entidad privada profesional con recursos.

Acerca de Blue Coat Systems

Blue Coat habilita a las empresas para elegir de forma segura y rpida las
mejores aplicaciones, servicios, dispositivos, fuentes de datos y contenidos
que se ofrecen en el mundo a fin de que puedan crear, comunicar,
colaborar, innovar, ejecutar, competir y ganar en sus mercados. Para
obtener ms informacin, visite www.bluecoat.com.