Home Infraestructuras críticas La compañía petrolera de Bahrein, fue atacada por el nuevo limpiador de...

La compañía petrolera de Bahrein, fue atacada por el nuevo limpiador de discos ‘Dustman’

Bapco, la compañía petrolera nacional de la nación insular de Bahrein en el Golfo Pérsico, fue el blanco de un ataque con un limpiador de discos el 29 de diciembre, que los oficiales creen que se originó por ciberdelincuentes apoyados por Irán.

Irán está históricamente asociado con las pasadas campañas de limpieza de discos contra las compañías energéticas, más notablemente el destructivo ataque de malware Shamoon o Disttrack contra la Compañía Petrolera de Arabia Saudita Saudi Aramco en 2012, el cual destruyó aproximadamente 35.000 estaciones de trabajo.

Sin embargo, este último asalto digital parece haber sido menos efectivo. Sólo una fracción de las máquinas de Bapco fue afectada – no lo suficiente como para interrumpir sustancialmente las operaciones. De acuerdo con el mismo reporte, una alerta de seguridad recientemente publicada por el Centro Nacional de Seguridad Cibernética (NCSC) de Arabia Saudita se refería en realidad al incidente de Bapco cuando advirtió sobre un limpiador recién descubierto llamado Dustman.

Dustman parece haber sido ejecutado apresuradamente en su víctima prevista, tal vez para encubrir un compromiso de red previamente ejecutado que había sido descubierto, sugiere la alerta del NCSC. “El NCSC evalúa que el actor de la amenaza detrás del ataque tenía algún tipo de urgencia en ejecutar los archivos en la fecha del ataque debido a las múltiples fallas de OPSEC observadas en la red infectada”, afirma el NCSC.

Dustman se considera una variante de ZeroCleare, otro limpiador de disco que los investigadores de IBM Security informaron el año pasado de que se había utilizado en recientes ataques de malware contra organizaciones del sector energético e industrial con sede en Oriente Medio. IBM vinculó a ZeroCleare, que busca sobrescribir el registro maestro de arranque y las particiones de disco de las máquinas de Windows, con el reputado grupo iraní APT OilRig (alias APT34 y Helix Kitten) y al menos otro grupo que probablemente también esté basado en Irán.

Dustman tiene la misma huella digital que ZeroCleare y ambos utilizan el Turla Driver Loader para explotar los controladores vulnerables para evitar las protecciones del sistema contra la carga de controladores no firmados, explica el NCSC. Sin embargo, Dustman sobrescribe los datos de forma diferente a ZeroCleare y ha añadido un “mecanismo de optimización… donde la capacidad destructiva y todos los controladores y cargadores necesarios se entregan en un archivo ejecutable en lugar de dos archivos como era el caso de ZeroCleare”, aclara la alerta.

Si el reporte del NCSC de hecho se refiere al incidente de Bapco, entonces de acuerdo con el reporte, el trabajo de la firma de energía probablemente se vio comprometido por primera vez varios meses antes del ataque. El NSCS cree, con “moderada confianza” que el vector inicial del ataque fue un servidor de red privada virtual que contenía una vulnerabilidad de ejecución de código remoto que había sido revelada en el verano de 2019. Esto podría referirse potencialmente a los servidores VPN de Fortinet o Pulse Secure, informa ZDNet.

En particular, IBM Security cree que los ataques ZeroCleare también fueron activados a través de exploits de servidores VPN. Y varios ataques prominentes de rescate Sodinokibi también han tenido lugar recientemente a través de servidores vulnerables de Pulse Secure, según han revelado los investigadores.

Según el NCSC, una vez que los atacantes accedieron al servidor VPN pudieron recoger credenciales de administrador, lo que les permitió moverse lateralmente por los sistemas de las víctimas y, en última instancia, desplegar Dustman en ellos, junto con archivos adicionales y dos controladores. Más tarde, los atacantes eliminaron el reciente registro de acceso a la VPN y descargaron una herramienta de eliminación de archivos para cubrir sus huellas.

Roger Grimes, evangelista de defensa de datos en KnowBe4, dijo que Bapco parece haber esquivado una bala, y cree que una mejor preparación por parte de las firmas del Medio Oriente luego del incidente del limpiaparabrisas de Saudi Aramco puede ser la razón.

“Antes del ataque a Saudi Aramco, la seguridad informática del Medio Oriente era peor que mala. Era casi inexistente. Pero la pérdida de 32.000 computadoras, servidores y estaciones de trabajo, en uno de los primeros ataques a estados-nación del mundo y el cierre del principal productor de riqueza para el país tiene una forma de crear foco”, dijo Grimes. “Arabia Saudita y sus aliados, incluyendo a Bahrein, se dieron cuenta de que el statu quo ya no funcionaría, y trabajaron muy duro para ponerse al día”.

Grimes, que trabajaba en Microsoft cuando ocurrió el ataque a Shamoon, añadió que Arabia Saudita “envió docenas de enviados de seguridad informática para trabajar mano a mano con algunas de las mejores y más atacadas empresas de Estados Unidos para aprender a ponerse al día con una mejor seguridad informática lo antes posible”. Fue una gran inversión, quizás una de las mayores inversiones de la historia en su futuro”. Y viendo esta última historia, parece un éxito”.

Con información de: ZDNet.