La particular cuenta atrás de las elecciones alemanas

ElevenPaths  22 septiembre, 2017

La tecnología utilizada por los sistemas de votación se convirtió en 2016 en el centro de atención tras las pasadas elecciones de Estados Unidos. A pesar de no haber evidencias de que las máquinas hubieran sido comprometidas, ésta es una preocupación entre tantas que pueden hacer que los procesos democráticos pueden estar influenciados por terceros actores. En este sentido, tal y como se detalla en el informe elaborado por ElevenPaths, distintas instituciones gubernamentales de Alemania habrían sido objetivo de diferentes tipos de ciberataques en los últimos meses.

Amenazas atribuidas a APT28

Alemania ha sufrido con anterioridad ataques a diversas infraestructuras políticas como el Bundestag o el partido político Unión Demócrata Cristiana atribuidas al grupo APT28. Según las bases de datos de amenazas de las que dispone ElevenPaths, se habría identificado en los meses de agosto y septiembre de 2017 un repunte de sesiones activas vinculadas a la suite de malware utilizada por APT28.

Imagen: la particular cuenta atrás de las elecciones alemanas
Figura  SEQ Figura * ARABIC 1.
Número de sesiones activas de la suite de malware de APT28.


Entre todas estas muestras de malware, se ha detectado un downloader llamado Coreshell con impacto
en organizaciones gubernamentales en Alemania. Coreshell descarga en una
segunda fase un backdoor desde un C2.
Este downloader, con el tiempo ha
evolucionado desde Sourface a versiones más recientes de Coreshell, normalmente
compiladas en una DLL (coreshell.dll).
Utiliza dos subprocesos para
comunicarse con su C2. El primero envía beacons
que contienen la lista de procesos del host
comprometido y el segundo es responsable de descargar y ejecutar dos payloads. Los mensajes son enviados
utilizando peticiones HTTP POST cuya información se encuentra codificada en
Base64 y además cifrada. En cuanto al método utilizado, usa un algoritmo de
flujo personalizado con una clave de seis bytes. Los comandos desde el C2 hasta
los implants de Coreshell usan otro
tipo de cifrado de flujo, pero esta vez utilizan una clave de ocho bytes.
Coreshell ha usado el mismo user-agent string (“MSIE 8.0”) que Sourface utilizó anteriormente, pero en
muestras más recientes Coreshell utiliza el user-agent
string de Internet Explorer. 
Otras amenazas genéricas

Desde otro punto de vista,
también se han identificado otras familias de malware genérico y no asociado a grupos conocidos o al menos no
atribuidos a APT28 como parte de su arsenal de herramientas actual. Entre ellas
se han encontrado distintos tipos de malware
con capacidades de robo de información, control de los sistemas infectados y
diferentes implementaciones para atacar plataformas Windows, Mac y Android.
También se han detallado en el informe ficheros ejecutables, documentos de texto y
ficheros .pdf con exploits embebidos,
exploit kits, Flash y aplicaciones
desarrolladas en Java que estarían
afectando a sedes gubernamentales alemanas.
El rango temporal en la que se
sitúan estas amenazas es desde enero del 2015 hasta las más recientes
detectadas durante el desarrollo de esta investigación en septiembre de 2017.
Por su parte, los vectores de infección han sido el correo electrónico, la
navegación web, Flash, FTP, Ownclod y Mediafire.
Gráfico: la particular cuenta atrás de las elecciones alemanas
Figura  SEQ
Figura * ARABIC 2. Número de
sesiones activas de muestras genéricas con impacto en instituciones
gubernamentales. 

Más fake news

Por otro lado, según el gobierno
alemán, también se han detectado operaciones de propaganda y desinformación
procedentes de medios de comunicación rusos similares a los identificados en
las elecciones de Estados Unidos y de Francia. En este sentido, el grupo de
trabajo East StratCom de la Unión Europea, creado en 2015 para combatir las
campañas de desinformación del gobierno ruso, descubrió que la canciller Angela
Merkel estaba siendo objetivo constante de este tipo de ataques debido a su
política hacia los refugiados. Otro caso estaría relacionado con unos correos
electrónicos enviados a medios de comunicación sobre el «Caso Lisa» en donde
soldados alemanes habrían sido acusados de violación durante su estacionamiento
en Lituania como parte de las fuerzas militares de la OTAN. 
Quedan menos de 72 horas para la
celebración de las elecciones y ninguna filtración se ha producido hasta el
momento. Por el momento, la BSI ha contratado a 180 expertos para minimizar el
riesgo de potenciales intromisiones externas en el sistema de voto. Sin
embargo, nos encontramos escuchando el ruido ensordecedor del tic-tac del reloj donde desconocemos si algún
ataque previo pudo ser efectivo y si consiguieron información con capacidad de
influenciar unas elecciones. 
Miguel Ángel de Castro Simón
(Senior Cybersecurity Analyst at ElevenPaths)

Yaiza Rubio
(Intelligence Analyst at ElevenPaths)


Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *