Medre, un posible caso de espionaje industrial

De un tiempo a esta parte, las noticias relacionadas con ataques dirigidos o robo de información a empresas o Gobiernos se han vuelto algo más frecuentes de lo que muchos desearíamos. En ESET somos conscientes de la preocupación que este tipo de noticias despierta y nuestros equipos de investigación realizan una gran labor detectando nuevas amenazas como la que analizamos a continuación y que ofrecemos una descripción más detallada en un documento preparado para la ocasión. Revisando nuestro sistema LiveGrid® observamos cómo Medre, un gusano escrito en AutoLISP (el mismo lenguaje que utiliza la aplicación AutoCAD) tenía una alta tasa de detección en Perú.

Este pico de infecciones no es nada habitual, así que decidimos investigar en qué otros países se detectaba esta amenaza de forma significativa. No nos sorprendimos al encontrar que otros países limítrofes con Perú o de habla hispana también habían experimentado un crecimiento en la detección de esta amenaza (aunque a un nivel mucho menor que Perú). El único país que no seguía esta pauta era China, aunque no sería ninguna sorpresa una vez nos pusimos a analizar este malware.

Pero, ¿por qué Perú parecía ser el objetivo principal? Al analizar los datos de ESET LiveGrid®, capaz no solo de detectar las infecciones activas sino también de detectar direcciones URL específicas, nos dimos cuenta de que un sitio web concreto estaba distribuyendo la plantilla de AutoCAD que parece ser la fuente para esta infección localizada, ya que estaba infectada con ACAD/Medre.A. Si consideramos que las empresas que quieren hacer negocios en esta región deben usar esta plantilla, tiene lógica que este malware apareciese principalmente en Perú y países limítrofes. Lo mismo para aquellas empresas que, aun no siendo de la región, hacen negocios a través de sus oficinas regionales.

Con respecto a la funcionalidad del malware, ACAD/Medre.A es capaz de infectar versiones de AutoCAD desde la 14.0 hasta la 19.2 mediante la utilización de un archivo con extensión FAS (archivos ejecutables en lenguaje AutoLISP), ubicado en la misma carpeta del proyecto. Cuando el usuario abre un proyecto de AutoCAD (.dwg), se ejecuta el archivo malicioso que, por un lado, modifica un archivo LSP ubicado en la carpeta del programa, para así seguir infectando cualquier otro proyecto que abra el usuario en el sistema. Posteriormente, se ejecuta un script en lenguaje Visual Basic (.vbs) que posee rutinas para enviar todos los proyectos que se abran en AutoCAD en el sistema infectado a cuentas de correo del atacante, más de 40 cuentas distribuidas en dos servicios de correo en China.

Los creadores de este malware han usado scripts en Visual Basic que se ejecutan utilizando el interprete Wscript.exe que está integrado en los sistemas operativos Windows desde Windows 2000. El autor asume que su código funcionará incluso en versiones futuras de AutoCAD, previstas para ser lanzadas en 2013, 2014 y 2015.

Tras una configuración inicial, ACAD/Medre.A empieza a enviar los diversos archivos de AutoCAD que son abiertos a una dirección de email perteneciente al proveedor de Internet chino 163.com. De hecho, los intentos de enviar los archivos robados se realizan usando 22 cuentas de correo en 163.com y otras 21 en qq.com, otro proveedor de servicios chino. Estos envíos se realizan accediendo a smtp.163.com y smtp.qq.com con diferentes datos de acceso. Normalmente se recomienda tener el puerto 25 abierto permitiendo el puerto saliente, por lo que no es de extrañar que tanto los usuarios que se han visto afectados en Perú y otras partes del mundo permitieran este envío de emails sin su consentimiento.

Además de enviar los archivos, este malware genera un fichero .rar protegido con contraseña, fichero que contiene los diseños, y los archivos acad.fas y .dxf. La contraseña usada solo tiene un carácter, siendo este el número “1”, lo cual nos trae recuerdos de otras amenazas como Win32/Bagle, que usaba la misma contraseña en los archivos .rar.

El archivo .dxf que se incluye en estos emails es generado por ACAD/Medre.A y contiene información que el receptor necesita para cargar el diseño robado en el sistema correcto y con el lenguaje correcto.

Todos aquellos interesados en conocer más a fondo el funcionamiento de ACAD/Medre.A pueden consultar la información publicada por nuestro compañero Robert Lipovsky y la descripción que hemos publicado en la Enciclopedia de Amenazas de ESET.

Cuando nuestros investigadores revisaron las cuentas de correo usadas por ACAD/Medre.A se dieron cuenta de que la bandeja de entrada estaba llena (cerca de 100.000 emails). Todos los mensajes en la bandeja de entrada contenían avisos de error al intentar entregar mensajes a un receptor que ya tenía la bandeja de entrada llena. Y eso sin contar los cerca de 5.000 mensajes que aún estaban por enviar.

 

Gracias a que la ruta y el nombre del fichero se encuentran en los adjuntos, pudimos realizar un análisis basándonos en la localización donde se almacenaban los diseños y su posible contenido. Nuestro análisis también muestra que muchos usuarios aúnutilizan una cuenta de administrador o almacenan sus diseños en el escritorio. En el siguiente gráfico podemos observar los nombres más frecuentes de los archivos robados:

Por los datos obtenidos del análisis de los emails usados podemos deducir la escala del ataque y concluir que decenas de miles de diseños AutoCAD fueron filtrados. Esto representa una elevada cantidad de datos filtrados y decidimos que debíamos pasar a la acción. Tras darnos cuenta de la magnitud del problema, ESET contactó con Tencent, propietarios del dominio qq.com. Gracias a la rápida intervención de Tencent, las cuentas usadas para renviar los correos con los diseños robados han sido bloqueadas y ya no se producirán más filtraciones. Desde estas líneas nos gustaría expresar nuestra gratitud a la división de seguridad corporativa de Tescent por su cooperación y su rápida reacción.

Asimismo, ESET también contactó con CVERC, el centro nacional de China de respuesta de emergencias relacionadas con malware, obteniendo una respuesta rápida de manos del subdirector de este organismo, que también ayudó a eliminar las cuentas de correo usadas para enviar los diseños robados.

Dentro de ACAD/Medre.A hay código que revisa la presencia de Foxmail u Outlook en sus versiones 11.0, 12.0 o 13.0. Si Outlook está presente, el gusano intenta enviar un archivo PST encontrado en el ordenador del receptor final en China vía los reenvíos de qq.com. Los archivos PST de Outlook contienen el correo, calendarios, contactos y otro tipo de información. Si es Foxmail la aplicación presente en el sistema, hay otra parte del código en ACAD/Medre.A diseñado para obtener y enviar la libreta de direcciones de Foxmail y la carpeta de elementos enviados, pero errores de esa parte del código hacen que esto no suceda.

Tras descubrir este malware, en ESET decidimos ofrecer una herramienta de limpieza para todos aquellos que la necesiten. Asimismo, también contactamos con Autodesk, fabricantes de AutoCAD, que se tomaron inmediatamente el asunto muy en serio y nos proporcionaron una completa asistencia.

ACAD/Medre.A es un serio ejemplo de un posible caso de espionaje industrial. Cada diseño nuevo es enviado de forma automática a los creadores de este malware. No hace falta decir que esto puede causarle grandes pérdidas al propietario del diseño original mientras que los cibercriminales tendrán en su poder estos diseños incluso antes de que pasen a producirse. Este ataque puede tener consecuencias tan graves como que los delincuentes patenten el diseño antes de que lo haga su creador original.

Si hay algo que resulta obvio por nuestra experiencia con este tipo de malware, es que contactar con diferentes organismos y empresas para minimizar el daño no solo es la mejor manera que actuar, sino que además funciona. Podríamos haber intentado solucionar este problema sin la ayuda de Autodesk, Tencent o el CVERC, centrándonos solamente en eliminar el malware de las máquinas infectadas. Trabajando codo con codo con estas empresas fuimos capaces no solo de alertar e informar a los usuarios, sino que también pudimos desmontar el sistema de envío de emails usados por los atacantes, negándoles el acceso a sus bandejas de entrada y minimizando el daño causado.

(Este texto ha sido adaptado a partir de la información publicada por nuestros compañeros de ESET Latinoamérica y Righard Zwienenberg, investigador senior de ESET, en el blog de ESET.com)

Josep Albors

@JosepAlbors

 

Comentar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..