Administración Central Tibetana recibe ataque Watering Hole



¡Virus en el Café! La Administración Central Tibetana (CTA, por sus siglas en inglés), un sitio que pertenece al gobierno del Dalai Lama en el exilio, ha sido comprometido y está redirigiendo a los visitantes que hablan chino a un exploit de Java que descarga una puerta trasera (backdoor) con una APT (Herramienta Avanzada de Empaquetado). Este es un ataque dirigido ya que un iframe adjunto e integrado redirige a los visitantes a un exploit de Java que tiene una puerta trasera con la carga explosiva. Los usuarios de habla Inglés y tibetano no son susceptibles al ataque ya que las versiones de la página web en estos idiomas no tienen este iframe integrado como la versión china. Una de las cosas que el exploit de Java hace es desactivar las revisiones de regulaciones de Java y después ejecuta el método Payload.main.




El ataque en sí está cuidadosamente dirigido, ya que un iframe anexado e integrado redirige a los visitantes de “xizang-zhiye(dot)org” (que es la versión en chino del sitio) a un exploit de Java que tiene una puerta trasera con la carga explosiva. Las versiones en inglés y tibetano del sitio web no tienen este iframe integrado como la versión china (por favor, todavía no lo visiten). Por ahora, parece que los pocos sistemas atacados con este código están ubicados en China y los Estados Unidos, aunque es posible que haya más. El exploit de Java que se utiliza es el 212kb “YPVo.jar”(edd8b301eeb083e9fdf0ae3a9bdb3cd6) que archiva, descarga y ejecuta la puerta trasera. El archivo es un ejecutable win32 de 397 kb, “aMCBlHPl.exe” (a6d7edc77e745a91b1fc6be985994c6a), que fue detectado como “Trojan.Win32.Swisyn.cyxf”. Las puertas traseras que se detectan con el veredicto Swisyn suelen ser parte de compiladores en cadena (toolchains) relacionados con APT , y este no parece ser la excepción.

El exploit de Java ataca la vieja vulnerabilidad CVE-2012-4681, lo que nos sorprende un poco, pero la usó el responsable de distribuir el CVE-2012-4681 original de día cero, Gondzz.class y Gondvv.class en agosto del año pasado. Puedes ver el código exploit 4681 en la imagen de arriba, así como códigos que configuran SecurityManager a cero para desactivar las revisiones de regulaciones de Java y después ejecutar el método Payload.main. El método Payload.main tiene capacidades interesantes y simples que hacen que el atacante pueda descargar la carga explosiva sobre https y decodificarla con AES usando las bibliotecas criptográficas integradas de AES, pero en este caso el paquete no está configurado para usar el código. En vez de eso, un par de líneas en su archivo de configuración hacen que el exploit descargue y ejecute el recurso ejecutable win32 del archivo jar. La mayoría de los antivirus detectan la puerta trasera en sí misma como variantes de programas ladrones de contraseñas de juegos, pero esta teoría es incorrecta. Su centro de comando y control se ubica en news.worldlinking.com (59.188.239.46).

Este atacante ha estado operando este tipo de ataques “de regadera” (watering hole) por un par de años como mínimo, además de campañas estándar de ataques dirigidos contra varios blancos, entre los que están los grupos tibetanos. Nuestra comunidad de la Kaspersky Security Network descubrió que las conexiones entre los incidentes pueden rastrearse hasta finales de 2011. También reveló que los exploits de Java relacionados con Apple de este servidor atacan la vulnerabilidad CVE-2013-2423, que es más reciente.

Tags:

Author:Antonio E. DaSilva

Comunicador social de amplia trayectoria en los llanos centrales. Las llamadas al aire y el sonido digital usando MiniDisk en entrevistas y música, fueron introducidas por este innovador locutor. Director Fundador del Diario Visión Apureña, único rotativo a color del estado Apure; Director de la estación de radio Calle 90.9 FM en la Villa de Todos Los Santos de Calabozo, fue uno de los primeros en usar las Redes Sociales y junto a Hugo Londoño; hacen historia en el periodismo Web 2.0, convirtiéndose en “Influencer” de gran valía en Iberoamérica.
  • mcp02

    Los chinos no les basta quitarle el territorio sino que los hackean tambien… unas joyas.

    • revolucion

      amigo ese tal Dali Lama es tremendo Agente de la CIA, antes que China ocupase el Tibet, existian Señores Feudales y Terratenientes con grades extensiones de tierra que trabajan los monjes, deja de hablar paja y lee la verdadera historia

      • mcp02

        Y tu vente a la realidad y no vivas en el pasado…