ESET analiza Carbon, la puerta trasera que usa el malware Turla para atacar instituciones europeas y de EEUU

Madrid, 6 de abril de 2017.- En los últimos años, los ciberdelincuentes que se encuentran detrás del malware Turla han demostrado sus capacidades para atacar a las instituciones más importantes de EEUU y Europa mediante un amplio arsenal de herramientas. ESET, la mayor empresa de seguridad informática con sede en la Unión Europea, analiza ahora las últimas versiones de Carbon, la puerta trasera utilizada por este viejo conocido, Turla. Turla innova constantemente sus vectores de ataque. De hecho, suele cambiar las herramientas que utiliza en sus ataques cuando los nombres de los archivos o los algoritmos de exclusión mutua (mutex) son desenmascarados. Desde su descubrimiento hace tres años, ESET ha confirmado hasta ocho versiones activas de Carbon.

Modus operandi del grupo

Conocidos por sus meticulosos esfuerzos para llegar a las víctimas y por sus trabajos en diferentes fases, Turla suele realizar un reconocimiento de los sistemas que quiere atacar para, seguidamente, desplegar herramientas más sofisticadas como, en este caso, Carbon.

Un ataque típico de Carbon se inicia con un usuario que recibe un correo fraudulento (phishing) dirigido o un ataque desde una web comprometida. Normalmente, la web es una que la víctima visita a menudo y es allí donde se realiza el ataque conocido como abrevadero (watering hole). Tras el ataque, los delincuentes consiguen instalar una puerta trasera, como Taydig o Skipper, y así poder ejecutar el malware en la máquina del usuario. Una vez que se realiza el reconocimiento, se abre una segunda puerta trasera que se instala en los sistemas clave.

La arquitectura de Carbon consiste en un malware del tipo descargador o dropper que instala los componentes y el archivo de configuración, además de un componente para comunicarse con los servidores de mando y control (C&C) y un balanceador de carga que maneja las tareas y las reparte entre los equipos de la red para inyectarlas en procesos legítimos mediante librerías DLL.

Carbon comparte similitudes con otras herramientas de Turla, como Uroburos; por ejemplo, el marco de comunicaciones. Los objetos de comunicación se instalan de la misma manera, las tablas virtuales y las estructuras son idénticas excepto porque en Carbon hay menos canales de comunicación”, se puede leer en el informe de ESET. “Carbon puede considerarse una versión ligera de Uroburos sin los componentes ni los exploits de kernel”.