Una operación coordinada entre Symantec y otras compañías de seguridad ha dado un importante golpe a Backdoor.Hikit y a otras herramientas de malware utilizadas por el grupo de ciberespionaje llamado Hidden Lynx, basado en China. La Operación SMN permitió que las compañías más importantes de la industria de la seguridad compartieran inteligencia y recursos, lo que ha posibilitado el desarrollo de una protección integral que podría incapacitar la efectividad de este malware. Las organizaciones involucradas en esta operación incluyen a Symantec, Cisco, F-Secure, iSIGHT Partners, Microsoft, ThreatConnect, Tenable, ThreatTrack Security y Volexity.
Hikit es un backdoor que ha sido utilizado en ataques de ciberespionaje en contra de múltiples objetivos en los Estados Unidos, Japón, Taiwán, Corea de Sur y otros países. Los esfuerzos de los delincuentes que utilizan Hikit se han enfocado en contra de organizaciones asociadas con gobierno, tecnología, investigación, defensa y el sector aeroespacial, entre otros objetivos.
La operación SMN es la primera ocasión en que grupo de firmas de la industria se han unido para detener a un grupo que provoca amenazas avanzadas persistentes (APT, por sus siglas en inglés). Algunas colaboraciones previas, como las operaciones en contra de las bandas de cibercriminales detrás de los troyanos Gameover Zeus y Shylock.
La Operación SMN, coordinada por la firma de seguridad Novetta, bajo el nuevo Programa Coordinado de Erradicación de Malware de Microsoft, se ha caracterizado por la gran cantidad de inteligencia recabada y compartida por las distintas firmas de seguridad, misma que ha llevado al desarrollo de la protección más efectiva en contra de Hikit y otras piezas de malware asociadas, incluyendo una herramienta previamente desconocida.
Hikit
El objetivo principal de esta operación fue Backdoor.Hikit, un troyano de acceso remoto (RAT) camuflajeado y sofisticado, que se ha utilizado desde 2011 durante ataques de alto perfil. Hikit brinda a los delincuentes la posibilidad de abrir una puerta trasera en la computadora de la víctima y permite al criminal descargar información desde el equipo infectado y subir comandos, así como otros códigos maliciosos (malware).
Las capacidades de tunneling de las redes le permiten crear proxies, mientras que otra característica de generación “ad-hoc” de las redes lo habilitan para conectar diversas computadoras comprometidas y crear una red secundaria. Hikit cuenta con versiones en 32-bit y 64-bit, que son desplegadas dependiendo de la infraestructura que tenga el objetivo.
Hikit ha sido utilizado por lo menos por un par de grupos APT de China para lanzar ataques de ciberespionaje: Hidden Lynx y Pupa (también conocido como Deep Panda). No se sabe actualmente si ambos grupos están relacionados de alguna manera, o si simplemente han tenido acceso a la misma herramienta de malware.
Imagen 1. Principales países en los que se han registrado infecciones por Hikit.
Hidden Lynx
Hidden Lynx, que también se conoce en la industria como Aurora, es un grupo de atacantes con alta capacidad y recursos, basado en China. Este grupo cuenta con un récord en cuanto al número de ataques constantes y persistentes en contra de una amplia gama de blancos.
Symantec ha llevado a cabo una extensa investigación sobre Hidden Lynx y ha concluido que este grupo cuenta con entre 50 y 100 operativos a su disposición y es capaz de llevar a cabo cientos de ataques simultáneos en contra de diversos objetivos. De acuerdo con el enfoque de este grupo, parecería ser una operación vinculada con “hackers a sueldo”, quienes lanzan los ataques después de una solicitud por parte de sus superiores, que son quienes les pagan.
Hidden Lynx es considerado como uno de los pioneros del método de ataque “watering hole” y parece haber tenido un acceso temprano a las vulnerabilidades día-cero. Si no puede montar un ataque directo en contra de un blanco, Hidden Lynx tiene la capacidad y paciencia para moverse hacia arriba dentro de la cadena de suministro, comprometiendo la seguridad de compañías que son proveedoras de las organizaciones objetivo, utilizándolas como una vía para conseguir su meta principal.
Hidden Lynx utilizó a Hikit cuando comprometieron la firma de confiabilidad en la infraestructura de Bit9 durante 2012. Posteriormente, este ataque fue utilizado como base para montar la campaña VOHO en julio de 2012, utilizando el malware firmado por Bit9. El objetivo final de esta campaña fueron compañías de los EEUU, cuyos sistemas estaban protegidos por Bit9. Hitkit también jugó un papel clave en esa campaña de ataques.
Desde entonces, Hidden Lynx ha seguido utilizando a Hitkit en sus ataques contra organizaciones, principalmente en Taiwan, los EEUU, Japón y Corea del Sur. En 2013 Hidden Lynx llevó a cabo un esfuerzo para contar con nuevas herramientas, e introdujo a dos tipos de malware: Backdoor.Fexel y Backdoor.Gresim, que continúa utilizando en conjunto con Hikit. Backdoor.Gresim no se había descubierto antes de este esfuerzo de colaboración.
Esta es la primera vez que se lleva a cabo un esfuerzo de esta magnitud para bloquear las actividades realizadas por un grupo APT. Symantec participa y celebra esta iniciativa conjunta entre varias empresas de la industria para compartir inteligencia y coordinar esfuerzos, con el fin de lograr el máximo impacto en contra de grupos APT. A través de una colaboración efectiva, podemos asegurar que cualquier organización que sea blanco de ataque de estos grupos, estará mejor protegida en el futuro.
Protección de Symantec
Symantec cuenta con las siguientes detecciones, implementadas para hacer frente al malware utilizado en estos ataques:
AV
IPS