Analistas de seguridad de Google han detallado una sofisticada operación cibercriminal que aprovechó vulnerabilidades en Chrome y Windows para instalar malware en dispositivos Windows y Android. Algunos de los exploits utilizados eran de día cero (zero-day attacks), lo que significa que se dirigieron a fallos hasta ese momento desconocidos por Google, Microsoft y por la mayoría de los investigadores externos. Las dos compañías han anunciado que los fallos de seguridad han sido parcheados y resueltos desde entonces.
Los hackers lanzaron los exploits a través de ataques llamados de abrevadero (watering-hole attacks); una estrategia que se pone en práctica contra organizaciones o empresas y que compromete sitios frecuentados por un grupo de usuarios de dicha organización. Los piratas preparan un código en estos sitios que instala malware en los dispositivos de los visitantes. Las webs en las que se situaron las trampas utilizaban dos servidores comprometidos, uno para usuarios de Windows y otro de Android.
El uso de ataques de día cero y de una infraestructura compleja muestra que se trata de un trabajo de hackers profesionales. Además, los analistas de seguridad de Google han declarado que la solidez del código de ataque -que encadenaba múltiples exploits de manera eficiente- también apunta a que la campaña fue llevada a cabo por “actores altamente sofisticados”.
“Estas cadenas de exploits están diseñadas para ser eficaces y flexibles a través de su modularidad”, escribió un investigador del equipo de vulnerabilidades Project Zero de Google. “Están bien diseñados, tienen un código complejo con una variedad de métodos de explotación novedosos, un registro sólido, técnicas de post-explotación sofisticadas y calculadas, y altos volúmenes de controles antianálisis y de orientación. Creemos que equipos de expertos han diseñado y desarrollado estas cadenas de exploits”. Esa modularidad de las cargas útiles, así como las cadenas de exploits intercambiables y aspectos como el loggin, la definición de los objetivos y la disciplina de la operación, también hacen pensar en criminales profesionales.
Ejecución remota
Los cuatro días cero explotados fueron: CVE-2020-6418, una vulnerabilidad de Chrome en TurboFan (corregida en febrero de 2020); CVE-2020-0938, vulnerabilidad de fuente en Windows (corregida en abril de 2020); CVE-2020-1020, vulnerabilidad en la fuente en Windows (corregida en abril de 2020) y CVE-2020-1027, vulnerabilidad de CSRSS en Windows (corregida en abril de 2020).
Los atacantes consiguieron una ejecución remota de código explotando un fallo zero day de Chrome y varias vulnerabilidades recientemente parcheadas. Todos los días cero fueron utilizados contra usuarios de Windows, ninguna de las cadenas de ataque dirigidas a dispositivos Android explotó este tipo de vulnerabilidades (aunque los investigadores de Project Zero afirmaron que es probable que los atacantes también tuviesen días cero de Android preparados).
En total, Project Zero ha realizado seis publicaciones en las que se detallan los exploits y las cargas útiles posteriores que han hallado, en una serie de posts que han llamado ‘In the wild’. Otras publicaciones de esta misma serie describen el bug Chrome infinity, exploits de Chrome, exploits de Android, las cargas útiles posteriores a los exploits de Android y los exploits de Windows. La intención de la serie es ayudar a la comunidad de ciberseguridad a combatir de manera más eficaz las operaciones de malware complejas. “Esperamos que esta serie de posts proporcione a otros una visión profunda de las acciones de un actor del mundo real, maduro y presumiblemente con buenos recursos”, han declarado los investigadores de Project Zero.