Se ha detectado que un grupo de piratas informáticos muy experimentado se ha metido en redes y cortafuegos utilizando un malware llamado troyano Asnarok, también conocido como Asnarök.
Este es un ataque coordinado muy reciente marcado como altamente destructivo. Se ha realizado un gran esfuerzo para analizar las capacidades y los daños del troyano en las redes de las víctimas..
Los ataques de troyanos Asnarok: la infección inicial
La semana pasada se realizaron varios ataques de alto impacto contra la infraestructura de red y los cortafuegos que los protegen de varios propietarios de negocios. La investigación muestra que la fuente inicial de infecciones parece ser causada por un error de inyección SQL desconocido. El resultado de una explotación exitosa es el lanzamiento de un ataque al firewall que protege la red objetivo.
Esta táctica presenta dos supuestos muy importantes que están relacionados con los piratas informáticos detrás de la operación de Troya.. La primera es que el grupo criminal probablemente haya investigado bien el objetivo. — parece que los hackers han descubierto un error peligroso que han aprendido a explotar. Para ejecutarlo, deberán verificar si el sistema tiene todos los requisitos: un servidor de base de datos que ejecuta la versión de software necesaria y un firewall conectado que puede ser explotado. Todo esto puede hacerse iniciando escaneos manuales o utilizando un complicado juego de herramientas de pirateo cargado con las variables y opciones necesarias. También es posible que todo esto lo haga el propio troyano Asnarok.
El análisis de las operaciones de Troya muestra que la inyección SQL es en realidad un código de una línea que se coloca en una de las bases de datos existentes. Esto hará que el servidor de la base de datos recupere un archivo de un servidor controlado por piratas informáticos alojado en un nombre de dominio que suena muy seguro y legítimo para los administradores, ya que se hace pasar por un proveedor de firewall. El archivo es el cuentagotas de carga útil real responsable de la instalación y operación del troyano.. El archivo se coloca en una carpeta temporal diseñada para almacenar archivos que no siempre utiliza el sistema, modificado para ser ejecutable por usuarios y procesos e iniciarlo.
Asnarok Trojan Unleashed: Impacto en los sistemas
Tan pronto como se active el script de instalación en las computadoras contaminadas, la primera acción será ejecutar una serie de comandos SQL. Están diseñados para modificar o eliminar ciertos valores almacenados en tablas de bases de datos, uno de ellos es la visualización de la dirección IP administrativa del dispositivo contaminado. Según los investigadores, esto se hace para ocultar la presencia de la infiltración..
La secuencia de comandos del instalador de carga útil lanzará otras dos secuencias de comandos separadas que se descargarán y ejecutarán desde la misma carpeta temporal. Sus acciones serán modificar la configuración de los firewalls implementados, servicios de tiempo de arranque y otras aplicaciones en ejecución. Un mecanismo adicional que es operado por el motor es el instalación persistente de todos los códigos de malware. Cada vez que se inicia el dispositivo, se inician los scripts. Algunas de las aplicaciones y servicios normales en ejecución pueden detenerse o modificarse. Uno de los guiones será establecer la conexión troyana que conectará la máquina secuestrada a un servidor remoto desde donde se descargará un programa. Esto ejecutará un firewall de malware que reemplazará el software estándar en ejecución.
Las consecuencias de las acciones troyanas incluyen el robo de datos que puede incluir contenido de la base de datos y datos del sistema de la máquina. La información recopilada se puede usar para crear una identificación única que se basa en los datos extraídos. El análisis completo del troyano Asnarok parece secuestrar los siguientes datos: dirección IP pública, clave de licencia de firewall, Información de cuenta de usuario SQL, contraseñas de administrador, Usuarios y políticas de VPN. Los datos recopilados se archivarán utilizando el comando tar y luego encriptado usando OpenSSL. El archivo resultante se enviará a los piratas informáticos a través de la conexión de red troyana.
Poco después de que se haya realizado la infección inicial, el proveedor lanzó un parche para todos los dispositivos vulnerables. Las actualizaciones automáticas de los firewalls deben estar habilitadas para que el archivo se recupere de la compañía y se aplique automáticamente. Para mayor información, referirse a la reporte inicial.