2 puntos por GN⁺ 2023-09-08 | 1 comentarios | Compartir por WhatsApp
  • Actores que se presume cuentan con apoyo del gobierno de Corea del Norte, seguidos por Google TAG, siguen apuntando a investigadores de seguridad dedicados a la investigación y desarrollo de vulnerabilidades, y en una campaña reciente se identificó un 0-day explotado activamente
  • Los atacantes establecen una relación en X y luego trasladan la conversación a Signal, WhatsApp o Wire; a los investigadores con quienes ya generaron confianza les envían archivos maliciosos que contienen un 0-day en paquetes de software populares
  • Tras el éxito del exploit, el shellcode realiza detección de máquinas virtuales y envía la información recopilada y capturas de pantalla a un dominio C2 controlado por los atacantes
  • GetSymbol, una herramienta para Windows sospechada de ser una vía de infección separada, parece una utilidad para descargar símbolos de depuración, pero puede descargar y ejecutar código arbitrario desde un dominio controlado por los atacantes
  • TAG agregó los dominios relacionados a Safe Browsing, envió alertas de atacantes respaldados por gobiernos a usuarios objetivo de Gmail y Workspace, y recomienda Chrome Enhanced Safe Browsing y mantener los dispositivos actualizados

Ataques recurrentes contra investigadores de seguridad

  • En enero de 2021, Google Threat Analysis Group (TAG) reveló una campaña en la que un actor respaldado por el gobierno de Corea del Norte apuntaba a investigadores de seguridad dedicados a la investigación de vulnerabilidades mediante exploits 0-day
  • Durante los dos años y medio siguientes, TAG siguió rastreando y bloqueando campañas de la misma familia, encontrando 0-days para proteger a los usuarios en línea
  • La nueva campaña identificada recientemente podría corresponder al mismo actor por sus similitudes con actividades anteriores
  • En las últimas semanas, se usó al menos un 0-day explotado activamente en ataques dirigidos a investigadores de seguridad, y la vulnerabilidad fue reportada al proveedor afectado
  • El proveedor publicó un parche el 12 de septiembre de 2023, y TAG publicó un análisis de causa raíz conforme a la política de divulgación de Google

Entrega de archivos maliciosos tras crear vínculos sociales

  • Como en campañas anteriores, los atacantes primero contactan a los investigadores objetivo en redes sociales como X
    • En un caso, intentaron colaborar con un investigador de seguridad manteniendo conversaciones durante varios meses a partir de intereses comunes
    • La conversación iniciada en X se trasladó a mensajeros cifrados como Signal, WhatsApp y Wire
  • Una vez establecida la confianza, los atacantes envían archivos maliciosos que contienen al menos un 0-day en paquetes de software populares
  • Si el exploit tiene éxito, el shellcode realiza varias comprobaciones anti-máquina virtual
    • Luego envía la información recopilada y capturas de pantalla a un dominio de comando y control controlado por los atacantes
    • La forma en que está construido el shellcode es similar a la observada en exploits norcoreanos anteriores

Posible vía de infección secundaria mediante GetSymbol

  • Además de la segmentación con 0-days, los atacantes también desarrollaron una herramienta independiente para Windows
  • La herramienta se presenta como destinada a descargar símbolos de depuración desde servidores de símbolos de Microsoft, Google, Mozilla y Citrix para reverse engineers
  • El código fuente se publicó por primera vez en GitHub el 30 de septiembre de 2022, y desde entonces se distribuyeron varias actualizaciones
  • En apariencia, parece una utilidad para descargar rápidamente información de símbolos desde múltiples fuentes
    • Los símbolos brindan información adicional sobre binarios y pueden ayudar a depurar problemas de software o a investigar vulnerabilidades
  • Sin embargo, la herramienta también incluye la capacidad de descargar y ejecutar código arbitrario desde un dominio controlado por los atacantes
  • TAG recomienda que, si se descargó o ejecutó esta herramienta, se verifique que el sistema esté en un estado limpio conocido; puede ser necesario reinstalar el sistema operativo

Medidas de protección de Google

  • TAG usa los resultados de su investigación sobre actores de amenazas graves para mejorar la seguridad y protección de los productos de Google
  • Todos los sitios web y dominios identificados se agregaron a Safe Browsing en cuanto fueron descubiertos para proteger a los usuarios de abusos adicionales
  • Se enviaron alertas de atacantes respaldados por gobiernos a los usuarios objetivo de Gmail y Workspace
  • Se recomienda a los posibles objetivos activar Enhanced Safe Browsing de Chrome y mantener todos sus dispositivos actualizados
  • A medida que aumenta la comprensión de las tácticas y técnicas, también pueden fortalecerse las capacidades de threat hunting y la protección de usuarios en toda la industria

Sitios y cuentas controlados por los atacantes

1 comentarios

 
GN⁺ 2023-09-08
Opiniones en Hacker News
  • La herramienta getsymbol de GitHub recibió 214 estrellas, pero no se ve ningún banner que indique que es una herramienta maliciosa.
    En un issue reciente hay un enlace a la publicación del blog de Google, pero eso es todo.
    Si alguien de GitHub está mirando, recomiendo firmemente agregar un banner o modal de advertencia de backdoor a esta herramienta y a otro software con backdoors conocidos (por ejemplo, forks).

    • También es un buen recordatorio de que el código en GitHub puede ser malicioso, y que no hay que confiar ciegamente solo porque el autor parece tener intereses similares.
      Yo también lo he hecho varias veces :(
    • El código fuente en sí se ve relativamente limpio, y la función de actualización automática parece estar detrás de un cuadro de confirmación.
      Es mucho más probable que el backdoor esté en el release binario o en el binario de actualización automática.
      Si lo compilas tú mismo y luego aceptas la actualización automática, puedes infectarte; además, el binario pesa más de 15 MB, más que suficiente para esconder un backdoor pequeño.
    • Valdría la pena analizar las cuentas que le dieron estrella a getsymbol antes de que esto se hiciera público.
      Si tienen puntos en común con otros proyectos obscure, podría ser una señal de que esas cuentas son cuentas títere.
    • Parece que acaba de ser retirado.
    • Reporté el repositorio como malware, así que veremos cómo lo manejan.
  • Me pregunto qué tan confiables son los sitios populares de descarga.
    Por ejemplo, los binarios de ffmpeg para Windows[1] están alojados en el sitio de una persona particular.
    Se pueden verificar checksums y demás, pero aun así no hay garantía de que correspondan a un commit específico de Git.
    En descargas alojadas fuera de GitHub o de manera no oficial, sin builds reproducibles o comprobadas, básicamente tiendo a asumir que hay un actor estatal detrás.
    ¿Estoy siendo paranoico? ¿Cómo resuelven esto los gestores de paquetes de Linux/Mac?
    [1] https://ffmpeg.org/download.html

    • Incluso los binarios publicados en el sitio web oficial pueden engañarte si el sitio es hackeado y también cambian los checksums.
      Eso ocurrió de verdad con Linux Mint.
      https://www.trendmicro.com/vinfo/fr/security/news/cybercrime...
    • ¿Por qué confiar en GitHub? La herramienta GetSymbol también recibió 215 estrellas ahí.
      Si no revisas los issues, parece completamente normal.
      https://github.com/dbgsymbol/getsymbol
    • mpv tiene el mismo problema: https://mpv.io/installation/
      Las descargas para Windows las proporciona "shinchiro" en SourceForge, y las de MacOS las proporciona "stolendata" en stolendata.net.
    • ¿No lo resuelven los gestores de paquetes de Linux/Mac compilando los binarios desde el código fuente y alojándolos en sus propios servidores?
    • El término de búsqueda/buzzword en esta área es builds reproducibles (Reproducible Builds).
      Todavía está bastante en una etapa inicial.
  • No es impactante ni nuevo, pero sí interesante.
    ¿Por qué usar un 0-day contra investigadores de seguridad? Mi suposición es que es una prueba con ventajas.
    Si funciona contra un investigador de seguridad, pueden considerarlo una buena vulnerabilidad y desplegarlo en el mundo real; a largo plazo, probablemente también calcularon la posibilidad de obtener 1+x 0-days de ese investigador.
    También es una situación interesante desde el punto de vista del investigador de seguridad.
    Si eres lo suficientemente cuidadoso y puedes fingir ser lo bastante tonto, quizás puedas cosechar "gratis" vectores de ataque frescos o 0-days, pero si te sobreestimas, te hackean de inmediato.

    • Los investigadores de seguridad, en general, tienen más 0-days.
    • O tal vez simplemente apuntaban a los permisos de acceso que tenía el objetivo.
    • Esto claramente es porque Corea del Norte no quería pagar el precio de mercado de los 0-days.
  • Esta herramienta también tiene una función para descargar y ejecutar código arbitrario desde un dominio controlado por el atacante.
    En otras palabras, es una actualización automática.
    Es irónico que, gracias a que Big Tech adoctrinó al público para aceptar esta dependencia o eliminó por la fuerza las alternativas, ahora esa actitud dependiente y confiada se haya extendido hasta los investigadores de seguridad y vuelva para morderlos.
    Algunos de nosotros sabíamos desde el principio a dónde llevaría esta actitud, y ni siquiera todos éramos investigadores de seguridad.
    Simplemente habíamos visto otros efectos negativos de permitir que alguien metiera cosas en nuestras máquinas y las ejecutara, y conectamos ambas cosas.

  • Es pura especulación, pero acaba de salir una nueva actualización de seguridad de macOS, e incluye esto:
    “Impacto: procesar una imagen creada con fines maliciosos puede provocar la ejecución de código arbitrario. Apple está al tanto de un informe que indica que este problema podría haber sido explotado activamente.”
    https://support.apple.com/en-us/HT213906
    No soy de apostar, pero sospecho que la vulnerabilidad que se está discutiendo es esta.

  • Lo que me intriga es esto:
    Estas personas de Corea del Norte claramente tienen acceso a internet sin restricciones, porque en la práctica lo necesitan para encontrar 0-days, y claramente al menos entienden inglés.
    Entonces, ¿cómo es que no se toparon por casualidad con medios que muestran cosas que los medios estatales ocultan?

    • “¡Todos nuestros agentes secretos son patriotas leales, y todos los agentes del otro lado son rehenes lavados del cerebro!”
      Siendo realistas, como cualquier agencia de inteligencia de otro país, seguramente los eligen por su patriotismo.
      Esta pregunta es parecida a preguntar por qué un agente de inteligencia estadounidense, aun teniendo acceso a información sobre Corea del Norte más allá de la propaganda, no deserta a Corea del Norte por su mejor cobertura médica, sus escuelas sin tiroteos masivos y su mejor gestión de basura.
      Probablemente no valoran los aspectos de la sociedad norcoreana que parecen mejores, y puede que tampoco crean que realmente sean mejores en determinadas situaciones.
      No veo muchas razones para que la inteligencia norcoreana sea distinta.
    • ¿Crees que las agencias de inteligencia de Corea del Norte no conocen el contenido de los medios occidentales?
      Probablemente sí lo conocen.
      Tienen otros medios para controlarlos: la zanahoria son los privilegios dentro de Corea del Norte, y el garrote son las consecuencias para ellos y sus familias si cruzan la línea.
    • No parece que tengan muchas opciones.
      Irse a un país más libre es difícil para cualquier norcoreano, y por la zanahoria y el garrote probablemente tampoco puedan simplemente dejar de hackear.
      Es muy probable que estén bajo vigilancia estrecha.
      Algunos quizá realmente crean la propaganda, y parece que estas personas reciben un trato bastante bueno.
    • También puede que se tranquilicen al ver las locuras que la maquinaria propagandística occidental publica sobre Corea del Norte.
      Eso no exonera a Corea del Norte de sus faltas.
    • El excelente podcast de la BBC The Lazarus Heist cubre en cierta medida la vida de los hackers norcoreanos: https://www.bbc.co.uk/programmes/w13xtvg9/episodes/downloads
      En los lugares donde trabajan, suelen estar bajo vigilancia estrecha y muchas veces reciben amenazas contra sus familias.
  • Me pregunto qué tan probable es que un investigador de seguridad ejecute un binario de Windows recibido de un desconocido por chat.
    Esto ya es casi sentido común, incluso antes de ser una introducción a seguridad.
    Más bien, diría que los investigadores habrían tenido la oportunidad de jugar con ese binario en un entorno seguro.
    Como el atacante publicó el código fuente, ni siquiera habría hecho falta hacer ingeniería inversa.
    Son black hats buenos.
    Ahora que lo pienso, ¿hay alguien que pueda encontrar el exploit en el repositorio enlazado? Me da curiosidad saber qué hace, pero me da flojera revisar todos los archivos.
    El artículo original también podría haber puesto ese enlace y explicar en qué se basaron para determinar que este proyecto estaba vinculado con hackers norcoreanos.

    • Pasa con mucha más frecuencia de lo que uno pensaría.
      A los profesionales jóvenes de infosec se les anima a obtener certificaciones como OSCP y eJPT, y en ese negocio de las certificaciones muchas veces hay que comprometer máquinas conocidas.
      Por eso se genera una cultura de “ayudarse” mutuamente en servidores de Discord, y parte de esa ayuda viene en forma de binarios o código fuente ofuscado.
      Lo ejecutan en la laptop de trabajo que usan para pentesting.
      Esa laptop tiene claves SSH para entrar al servidor donde redactan reportes, y si termina comprometida, Corea del Norte acaba teniendo acceso a datos y vulnerabilidades de empresas privadas estadounidenses.
      Puede que de hecho haya visto algo así.
    • La amenaza de la que hablaban no era esa.
      Decían que algún documento leído por cierto programa explotaba un 0-day, y que habían recibido ese documento.
    • Si preguntas por la base para vincular este proyecto con hackers norcoreanos, cuando alguien hace attribution con suficiente confianza pero no revela el método, es bastante razonable suponer que no quieren quemar fuentes o indicadores que podrían seguir siendo útiles en el futuro.
      Porque si los publican, probablemente dejarían de servir.
    • La frase “los actores de amenaza enviaron archivos maliciosos que incluían al menos un 0-day en paquetes de software populares” significa que no se trataba de un ejecutable.
    • La esencia de la introducción a seguridad es que algún día todos cometen errores. Todos.
      Si el entorno de un investigador de seguridad no está bien diseñado, ya sea por problemas de presupuesto o por descuido, esas cosas pasan de verdad, y el atacante puede llegar muy rápido hasta la carnita sabrosa.
  • Me preocupa que los investigadores hagan attribution de estas campañas con tanta tranquilidad.
    Nunca explican la metodología de attribution, pero lo que más les llama la atención a los no técnicos siempre es esa attribution.
    En este artículo, las dos primeras palabras ya son el actor atribuido.
    Pero no hay absolutamente ninguna forma de demostrarlo.
    En internet, la attribution es realmente, realmente, realmente difícil.
    Como no tenemos forma de juzgar de manera independiente si acertamos o no, ni siquiera sabemos qué tan difícil es.
    Sería ingenuo pensar que la attribution no tiene nada que ver con motivaciones políticas.

    • Citlab trabaja con varios data brokers privados para obtener inteligencia de seguridad comercial, y eso también se menciona a menudo en sus reportes.
      Con base en eso, asumo que la attribution suele ser correcta.
      Pero, dando un paso atrás y viéndolo objetivamente, el hecho de que la fuente de esa inteligencia sea invasiva para la privacidad se ve bastante hipócrita.
  • Me sorprende que Corea del Norte encuentre suficientes hackers avanzados y personal de ciberseguridad para hacer este tipo de cosas, pese a que el nivel de educación en computación de la población general es tan bajo.

    • Por lo que he leído de especialistas en Corea del Norte, el país produce hackers de forma deliberada e intensiva.
      Si un niño norcoreano muestra talento para las matemáticas, queda bajo observación; si es lo suficientemente sobresaliente, lo envían a una escuela especial de matemáticas, donde prácticamente no aprende casi nada más.
      Después lo mandan a la única universidad técnica, donde estudia programación de computadoras de forma intensiva durante años.
      Si cumple los estándares, lo envían a China, donde aprovecha el mejor acceso a internet para dedicarse desde robar oro de MMORPG hasta ataques de phishing y búsqueda de 0-days.
      Suena a una vida sombría: jornadas de 12 horas, presión constante por resultados y dormitorios estrechos.
      O sea, algo parecido a Silicon Valley ;)
    • Los norcoreanos ricos o con conexiones estudian en varias escuelas prestigiosas de Occidente y China.
      Incluso el dictador supremo fue a la secundaria y preparatoria en Suiza.
    • Es casi seguro que están aprovechando el talent pool de alguno de los países vecinos.
  • “Todos los sitios web y dominios identificados en cuanto se descubren se agregan a Safe Browsing para proteger a los usuarios de explotación adicional”.
    En el navegador Brave, dbgsymbol.com no muestra ninguna advertencia de Safe Browsing.
    Advertencia: es un vector desconocido.

    • Safe Browsing no es para detectar hackeos, sino para que Google pueda vigilar fácilmente a los usuarios.