Investigadores de la empresa de seguridad noruega Norman ASA han descubierto una vasta red de ciber espionaje desplegada contra objetivos en Israel y en menor medida Palestina. Basada en la ya conocida estructura de C&C y DNS dinámicos. Esta red ha desplegado miles de troyanos principalmente para el robo de datos.
Este pasado mes de Octubre se detectó en Israel un ciber ataque que provocó el bloqueo del acceso a internet a su cuerpo de policía. Este ataque se llevó a cabo a través de un email que simulaba haber sido enviado por Benny Gantz, comandante en jefe del ejercito hebreo. A partir de este momento se inició una investigación en la que han participado entre otros Trend Micro y Norman ASA. Trend ya identificó en un primer momento que los objetivos iniciales habían sido sistemas en las aduanas israelies, a través de un ataque llevado a cabo desplegando un troyano llamado Xtreme RAT. Este troyano esta diseñado para robar datos y permite acceso remoto, pudiendo recibir comandos desde el exterior.
En ese momento, un investigador de Norman ASA, Snorre Fagerland, descubrió que el troyano simulaba estar firmado digitalmente por Microsoft. Este engaño, aunque no pasaría las medidas de seguridad de Windows, permitió a Fagerland identificar otros malware que utilizaban el mismo certificado falso, de esta manera identificó toda una red utilizada para distribuir malware a través de más de una docena de C&C. Estos centros de control estaban distribuyendo malware desde Octubre de 2011, utilizando DNS dinámicos para poder cambiar de IPs y dominios sin perder sus troyanos ya desplegados, aunque casi siempre dependiendo de un hosting en Ramala (Palestina).
Fagerland, siguió investigando y a partir de los documentos maliciosos creados en Word y que eran parte de los emails consiguió una serie de nicks que finalmente le llevaron a un foro de hacking llamado Gaza-Hacker.ne, un grupo de hackers que ya había atacado previamente websites del gobierno Israelí.
Este tipo de estructura, aunque mucho más simple que otras que hemos visto en ataques como los de Stuxnet o Duqu, demuestra que con una inversión relativamente pequeña tanto en hostings como en desarrollo de malware, se puede desplegar una red que sea capaz de llevar a cabo un gran número de ataques. En estos casos es prioritario para las autoridades disminuir el tiempo de respuesta y ser capaces de inhabilitar los C&C en el menor tiempo posible, de lo contrario este tipo de redes crecerán exponencialmente.