imagesYa sabemos que la industria del malware no deja de sacar variantes que atacan tanto a empresas como a usuarios finales. Las familias que mas roban dinero a los usuarios finales serían los ramsomware y los troyanos bancarios. Esto, evidentemente es un problema y es algo que irá persistiendo durante mucho tiempo.

Pero, cuando a la gente le explicas que los ciber-criminales son capaces de desarrollar muestras que afectan a las “centrales nucleares” el tema, como que cobra mas importancia. ¿No?

Ya han habido incidentes en el pasado relacionado con malware que afecta a los sistemas SCADA, seguramente la gent recuerde el caso de Stuxnet.

Algunas de las características que tenía:

  • El uso de vulnerabilidades desconocidas hasta el momento para difundirse
  • Stuxnet usaba 4 0day no conocidos.
  • Era eficaz contra sistema operativo Windows desde 2000 hasta Windows 7
  • El uso inteligente combinando las vulnerabilidades
  • Algunas de las vulnerabilidades dejaban activo el autoRUN.
  • Otra vulnerabilidad tenía elevación de privilegios
  • Uso de certificados válidos
  • Stuxnet llevaba un certiticado de Realtek válido

Este malware causo bastantes estragos en  su época.

Pero hoy no vengo ha hablar de Stuxnet sino de HAVEX, un nuevo “malware” que ataca los sistemas ICS/SCADA.

Este malware, se trata de un RAT, una herramienta de control remoto. Infecta a las víctimas a través de correos electrónicos  y kits de explotación, los atacantes utilizan también la técnica watering hole.

Los investigadores de F-Secure tienen hasta ahora 88 variantes de malware analizados y han descubierto que pueden descargar y ejecutar componentes maliciosos adicionales, uno de ellos se filtra en los datos sobre la red local y el hardware conectado a ICS/SCADA.

Han habido muchos blogs que han hablado sobre el tema de Havex, entre ellos los compañeros de Eleven Paths, comentaban algo que me ha parecido interesante referenciar aquí:

Tanto los proveedores de software como los que lo consumían, han cometido una serie de errores graves durante el proceso de infección.

  • Las páginas que proporcionan estos sistemas industriales han sido comprometidas y sus programas sustituidos sin que sus legítimos dueños lo hayan advertido a tiempo. Los errores de estas empresas, tanto reactivos como preventivos, son innumerables. No se han dado los nombres concretos de las compañías, pero no resulta muy difícil poder reducir el círculo de candidatas.
  • Los operarios o administradores han descargado este software y no han comprobado las firmas o integridad (si es que las compañías firmaban todo su software u ofrecían algún método de comprobación). Esto es quizás lo más preocupante. En entornos de este tipo, instalar un programa debe ser un proceso compuesto por varias fases, aunque haya sido descargado de una página oficial. En concreto comprobar firmas e integridad debería ser obligatorio en el procedimiento. También la ejecución en sandboxes que desvelen el comportamiento exacto del programa antes de pasar a producción. Por ejemplo, esta línea en un sistema de debug hubiera podido delatar el comportamiento anómalo. Fuente: http://blog.elevenpaths.com/2014/06/havex-no-es-el-nuevo-stuxnet-y-la-falta.html

El malware no tiene el nivel de Stuxnet, además de que este tiene la característica de ser un RAT. Se han detectado un total de 16 C&C hasta ahora, sin duda un malware  en que veremos si van surgiendo nuevas variantes.