Backdoor.Destover es un malware destructivo, que fue el tema central de un aviso lanzado hace algunos días por el FBI relacionado con diversos ataques que se presentaron en Corea del Sur. Algunas muestras de Destover reportan a un servidor C&C (comando y control) que también fue utilizado por una versión de Trojan.Volgmer, diseñado para atacar blancos en ese país. El servidor C&C compartido indica que un mismo grupo se podría estar detrás de ambos ataques.
Volgmer es un malware dirigido, presuntamente utilizado por un solo grupo, el cual ha sido utilizado en ataques limitados, posiblemente como una herramienta durante una etapa inicial de reconocimiento. Puede ser utilizado para recopilar información del sistema y descargar archivos para su ejecución. Es importante señalar que la versión de Volgmer, que comparte un servidor C&C con Destover, fue configurada específicamente para atacar blancos en Corea del Sur y solo se ejecuta en computadoras sudcoreanas.
Destover también comparte ciertas técnicas y nombres de componentes con los ataques Jokra, realizados contra Corea del Sur en 2013. Sin embargo, todavía no existe evidencia sólida para vincular los ataques, y una operación similar no podría ser descartada. También existen similitudes con los ataques Shamoon, con ambas ofensivas utilizando los mismos drivers, que están disponibles comercialmente. No obstante, es esta instancia, es poco probable que el mismo grupo está detrás de ambos ataques y al contrario, pareciera que los ataques Destover copiaron técnicas de Shamoon.
Destover en acción
Destover es una forma particular de malware altamente destructivo, que tiene la capacidad de borrar en su totalidad a una computadora infectada. Fue el tema central de un aviso lanzado por el FBI hace unos días y se presume que por lo menos una de sus variantes podría haber sido utilizada para realizar un ataque de alto perfil.
Existen diferentes archivos maliciosos asociados con el reporte Destover del FBI:
- diskpartmg16.exe
- net_ver.dat
- igfxtrayex.exe
- iissvr.exe
Diskpartmg16.exe es el primer archivo que se crea en una computadora infectada y cuando se ejecuta, crea los archivos “net_ver.dat” y “igfxtrayex.exe”.
Cuando “diskpartmg16.exe” se ejecuta, se conecta a varias direcciones IP, dentro de un rango específico IP, así como a computadoras con nombres de en el formato “USSDIX[Machine Name]”. Esto indica que esta variante de Destover no fue desarrollada para diferenciar, y al contrario, el malware ha sido configurado para solo atacar a equipos que pertenecen a la misma organización.
La acción destructiva de Destover se lleva a cabo por parte de “igfxtrayex.exe”. En ciertas instancias, y cuando se ejecuta podría:
- Eliminar todos los archivos en discos fijos y remotos
- Modificar la tabla de partición
- Instalar un módulo adicional (iissvr.exe)
- Conectar un número direcciones IP en los puertos 8080 y 8000
Al mismo tiempo, “iissvr.exe” es una puerta trasera que escucha en el puerto 80. Cuando el atacante se comunica con la computadora comprometida, este archivo despliega un mensaje en inglés, que traducido dice:
“Ya te hemos advertido, y este es solo el comienzo.
Continuaremos hasta que se cumplan nuestras demandas.
Hemos obtenido todos tus datos internos, incluyendo tus secretos más ocultos.
Si no nos obedeces, revelaremos al mundo los datos que se muestran abajo.
Tienes hasta el 24 de noviembre a las 11:00 PM (GMT) para tomar una decisión.
Publica un correo electrónico y la siguiente frase en tu twitter y Facebook, y te contactaremos a través de esa dirección de correo:
Muchas gracias a God’sApstls [sic] por contribuir con este gran esfuerzo a la paz mundial.
Si tratas de rastrearnos, tu información será publicada de inmediato.”
Relación con Volgmer
Algunos ejemplos de Destover, analizados por Symantec, están ligados a un servidor C&C que ha sido utilizado por variantes de Trojan.Volgmer y Symantec lo ha rastreado durante varios meses. Volgmer es una amenaza capaz de abrir una puerta trasera en una computadora infectada, que permite al malware comunicarse con un servidor C&C para obtener información del sistema, ejecutar comandos, subir archivos y descargar archivos para su ejecución.
Es de llamar la atención que las variantes de Volgmer que comparten el servidor C&C con Destover, están configuradas para detener la ejecución si la región de la computadora comprometida no corresponde a Corea.
Relación con Jokra
Los agresores de Destover utilizan distintas técnicas y componentes que son similares a aquellos utilizados durante los ataques de Jokra contra Corea del Sur en 2013. Estos ataques afectaron a servidores pertenecientes a diversos bancos sudcoreanos, organizaciones de comunicación y también truncaron el sitio web de una firma local de telecomunicaciones.
El malware utilizado durante los ataques Jokra, contenía un código que comenzaba a borrar el disco duro hasta después de que expiraba cierto periodo de tiempo. Destover también está configurado para borrar los archivos de manera tardía. Además, diversos medios de comunicación sudcoreanos han reportado que varios archivos con nombres similares fueron utilizados en ambos ataques (liga en idioma coreano).
Similitudes con los ataques Shamoon
Destover también comparte cosas en común con los ataques Shamoon. Tanto Destover como el malware utilizado por los criminales de Shamoon (W32.Disttrack) comparten ciertos drivers. Estos no son archivos maliciosos y son drivers que comercialmente están disponibles. Mientras Destover y Disttrack son formas destructivas de malware, aún no hay evidencia que sugiera que el mismo grupo está detrás de ambos ataques.
Protección de Symantec
Los productos de Symantec y Norton detectan esta amenaza como Backdoor.Destover.